View
52
Download
8
Category
Preview:
DESCRIPTION
Ótimo material para quem deseja saber mais sobre gestão de risco.
Citation preview
1
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos ReservadosRildo F Santos (rildo.santos@CompanyWeb.com.br)
2
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
IntroduçãoGestão de Risco de TIAs melhores práticas em Gestão de Risco de TI
Com passar do tempo muitas empresas se tornaram dependentes de seus sistemas de informação. A área de TI fornece suporte as operações destas empresas, fazendo parte da estratégia de negócio ou como uma vantagem competitiva.Para estas empresas, o ambiente de TI não pode ficar instável ou vulnerável, pois isto traria risco a sua operação.Muitos negócios seriam perdidos e muitos clientes ficaram insatisfeitos, isto acarretaria um enorme prejuízo para a empresa.
O último relatório sobre a Gestão de Risco de TI - The Economist, - Assimilando os riscos da Tecnologia da Informação (Coming to grips with IT risk), conclui que as maioria das grandes empresas não gerência eficientemente os riscos associados à TI. Este relatório foi elaborado com base em pesquisa realizada com 145 altos executivos de corporações ao redor do mundo.
Se você precisa proteger os ativos de TI, seja para tornar o ambiente de TI mais estável e menos vulnerável, mais eficiente, ou para manter a conformidade com lei ou regulamentações (ANS, Susep ou Bacen), este curso abordará a Gestão de Risco de TI, de forma objetivo e clara com a finalidade dar orientação de como utilizar as melhores práticas, frameworks (COSO) e guias de gestão para mitigar o risco operacional de TI.
3
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
Conteúdo
1 IntroduçãoMotivadores da “onda” de Gestão de RiscoGovernança CorporativaGovernança de TIEvolução (da Gestão de Segurança da Informaçãopara Gestão de Risco)Principais Guias, Normas e Frameworks
2 Visão geral sobre Risco- Definição- Natureza do Risco- Componentes
3 Gestão de Risco de TI:- Identificando os riscos - Analisando de Severidade do Risco (Impacto vsProbabilidade)- Respostas ao Risco- Monitoramento
4 As Melhores Práticas (Guias, Normas e Frameworks)- Gestão de Risco Operacional: COSO- Governança de TI & Gestão Estratégica de TI: COBIT- Gestão de Serviços de TI: ITIL- Gestão de Segurança da Informação: ISO 17799- Desenvolvimento de Software: Práticas PMBok e Processo Unificado-Gestão de Fornecedores: e-SCM.
5 Controle Internos:- Definição- Compliance com regulamentação- Controle Eficientes- Auditoria Interna
6 Estudo de Caso
Elaboração de Estratégia de Gestão de Risco em Ambiente de TI
4 As Melhores Práticas (Guias, Normas e Frameworks)- Gestão de Risco Operacional: COSO- Governança de TI & Gestão Estratégica de TI: COBIT- Gestão de Serviços de TI: ITIL- Gestão de Segurança da Informação: ISO 17799- Desenvolvimento de Software: Práticas PMBok e Processo Unificado-Gestão de Fornecedores: e-SCM.
5 Controle Internos:- Definição- Compliance com regulamentação- Controle Eficientes- Auditoria Interna
6 Estudo de Caso
Elaboração de Estratégia de Gestão de Risco em Ambiente de TI
4
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
IntroduçãoOrigem da palavra:
A origem da palavra risco é controvertida. Alguns autores afirmam que ela deriva de “resecare” (cortar), empregada para descrever geografias agudas como as dos recifes que tinham o poder de afundar navios. Como a navegação sempre foi uma atividade importante para o desenvolvimento humano, era aconselhável evitar o “risco” de perder as embarcações e suas cargas. Outra possível origem é indicada por Peter Bernstein no livro Desafio aos Deuses. Segundo o autor, “risco” vem do italiano “risicare”, que significa “ousar”. No sentido de incerteza, é derivada do latim “risicu” e “riscu”.
As primeiras técnicas de gestão de risco foram implantadas pelas seguradoras – justamente com as apólices para navios. No século 20, entre as décadas de 60 e 80, o setor financeiro se dedicou ao aperfeiçoamento das ferramentas de controle de risco, entusiasmados pela possibilidade de “prever” o futuro e evitar perdas previsíveis no presente. Em 1994, o JP Morgan lançou o Value at Risk (VaR), cálculo amplamente utilizado pelas instituições financeiras para medir o risco probabilístico de um portfólio de aplicações financeiras. É muito mais complexo, porém, dimensionar e avaliar riscos quando a régua não pode ser simplesmente numérica, como no caso dos bancos.
Em 2002, depois de escândalos financeiros (Enron e WorldCom..), institui-se o ato Sarbanes-Oxley (Sox) têm obrigado as empresas a investir no controle de riscos. A obrigação estende a todas as empresas listadas na Bolsa de New York, inclusive as brasileiras, são obrigadas pela Sox a informar anualmente a quais riscos estão expostas e quais são as ferramentas de controle e gerenciamento utilizadas.O Acordo de Basiléia II, que também é resultante de escândalos financeiros, no Brasil -resolução 3380 do Bacen, obriga a implementação da Gestão de Risco Operacional a todos os bancos brasileiros, com objetivo de atender o acordo.
Por obrigação, ou não, o fato é que o gerenciamento de risco se difunde entre as empresas de todo o mundo.
Baseado no artigo da Revista Amanhã - http://amanha.terra.com.br/edicoes/229/capa04.asp
5
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
Eu não me preocupo com as coisas que sei que não sei. Eu sóme preocupo com as coisas que não sei que não sei. Porque ascoisas que sei que não, é fácil – é só procurar que vou saber. Porém, as coisas que não sei que sei, não tenho nem por ondecomeçar!
(Einstein , circa 1940)
Motivadores da “onda” de Gestão de RiscoGovernança CorporativaGovernança de TIEvolução (da Gestão de Segurança da Informaçãopara Gestão de Risco)Principais Guias, Normas e FrameworksNova visão
6
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
IntroduçãoPrincipais motivadores da Gestão de Risco> Gestão da Segurança da Informação > Controle Interno
Gestão de Risco
Fraudes Contábeis e Financeiras
Ataque deHackers, Span,
Virus..
Aumentar EficiênciaOperacional
Estratégia doNegócio
Requisitos legais eregulatórios
EscândalosFinanceiros
SOX Basel II
1975 – quebra dos bancos Herstatt, da Alemanha e Franklin National, de Nova York. > 1975 - Comitê da Basiléia
1993 – Bank of Credit and CommerceInternational faliu em meio a escândalos de fraude e lavagem de dinheiro1995 – Barings faliu depois de 233 anos de existência> 1997 – Comitê Basiléia edita os 25 Princípios – Instituição de Controles Internos
1995-98 – Askin Capital, Orange County, Chemical Bank entre outros> 1998 – Comitê Basiléia edita mais 13 Princípios – Gestão de Riscos (5 componentes)> 1998 – Res.Bacen 2.554– Controles Internos > 2001 – Novo Acordo da Basiléia
2001 – Enron – 7a. Maior empresa dos EUA, gigante americana do setor de energia, pediu concordata em dezembro de 2001, após ter sido alvo de uma série denúncias de fraudes contábeis e fiscais. Com uma dívida de US$ 13 bilhões, o grupo arrastou consigo a Arthur Andersen, que fazia a sua auditoria.2001 – WorldCom. A fraude ocorreu porque a empresa registrou como investimentos (ativo em seu balanço patrimonial) o que era despesa (demonstrativo de resultados), distorcendo totalmente os dados de suas contas.Em 30 julho de 2002, George W. Bushassinou de “O Ato Sarbanes-Oxley”, com objetivo de garantir a integridade das informações financeiras (dar proteção aos investidores)
Segurança da Informação
7
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
Governança Corporativa, definição:
GovernançaCorporativaLeis
Regulamentos
Normas
Controles
Transparência
Equidade
Prestação de Conta
Compliance2
Ética
Notas: 1 - Fonte: Instituto Brasileiro de Governança Corporativa (www.ibgc.org.br) | 2 - Cumprimento das Leis
Exigências:“Você pagaria a mais pelas ações de quem adota práticas de governança ?- 76% disseram que sim e destas a maioria afirmou que pagaria 24% a mais pelas ações.”
Fonte: McKinsey com empresas da América Latina
“Você pagaria a mais pelas ações de quem adota práticas de governança ?- 76% disseram que sim e destas a maioria afirmou que pagaria 24% a mais pelas ações.”
Fonte: McKinsey com empresas da América Latina
Governança Corporativa é o sistema pelo qual as sociedades são dirigidas e monitoradas, envolvendo os relacionamentos entre Acionistas/Cotistas, Conselho de Administração, Diretoria, Auditoria Independente e Conselho Fiscal. As boas práticas de governançacorporativa têm a finalidade de aumentar o valor da sociedade, facilitar seu acesso ao capital e contribuir para a sua perenidade1.
Benefícios:
Transparência = Credibilidade
8
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
Modelo de Governança
“A transição para o capitalismo sustentável será uma das mais complexas revoluções que a nossa espécie já vivenciou. Estamos embarcando em uma revolução cultural global, que tem como epicentro a sustentabilidade. Ela tem a ver com valores, mercados, transparência, ciclos de vida de tecnologias e produtos e tensões entre o longo e o curto prazo. E as empresas, mais que governos ou outras organizações, estarão no comando destas revoluções. Um comando que se exercerá pelos princípios da governança corporativa.” - John Elkington
Fonte: Governança Corporativa – Fundamentos, Desenvolvimento e Tendências – Adriana Andrade e José Paschoal
OperaçõesOperações
Governança de Negócio
Direcionadores Estratégicos
EspontâneaCompulsória
Governança de Compliance
Gestão de Risco e Controles Internos
N2Basel IISOX N1
Bovespa/CVM
Governança Corporativa
BACENNYSE
Resultado & Desempenho
Planejamento Estratégico (BSC) AgênciasReguladoras
9
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
Segundo IT Governance Institute (www.itgi.org), a definição da Governança de TI:
“É uma estrutura de relacionamentos e processos para dirigir e controlar a organização para atingir os objetivos corporativos, adicionando valor, ao mesmo tempo que equilibra os riscos em relação ao retorno da TI e seus processos“
GovernançaCorporativaLeis
Regulamentos
Normas
Controles
TransparênciaEquidade
Prestação de ContaCompliance
Ética
Exigências
Governançade TI
CobitITILBSCPMBok
Guias
www.itgovernance.org
COBIT - Control Objectives for Information and Related Technology – www.isaca.org
Governança de TI
Guia: COSO
10
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
Modelo de Governança Corporativa e Governança de TI:
SegurançaISO 27001
OutSourcinge-SCM/SAS70
Fábrica SWCMMi/RUP
ProjetosPMI/PMBok
COBIT
Serviços de TIITIL/ISO 20k
Governança de TI
Melhores Práticas,Padrões, Normas e Área de Conhecimento
Governança de Negócio
Direcionadores Estratégicos
EspontâneaCompulsória
Governança de Compliance
Gestão de Risco e Controles Internos
N2Basel IISOX N1
Bovespa/CVM
Governança Corporativa
BACENNYSE
Resultado & Desempenho
Planejamento Estratégico (BSC) AgênciasReguladoras
11
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
Modelo de Governança
Governança de TI
Arquitetura de TI
Recursos
Requisitos do Negócio Leis e Regulamentações
Risco & Compliance
Qualidade
Processos e Projetos
Segu
ranç
a da
Info
rmaç
ão
Serv
iços
de
TI
Fábr
ica
de
de S
oftw
are
Forn
eced
ores
Ges
tão
Estr
atég
ica
de T
IPMBok/PMI
BSC-TI ITIL /ISO20000 CMMi ISO17799/
ISO27001SAS70 /e-SCM
Cobit
COSO
ISO9001 /Seis Sigma
Governança doNegócios
Governança deConformidade
Governança Corporativa
TI - Melhores PráticasPadrões e Frameworks
Melhores PráticasPadrões e Frameworks
BSC COSO
Modelo de Governança (Corporativa e TI):
12
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
Objetivos:
- Simplificar/Democratizar as decisões de TI
- Simplificar as operações e/ou serviços de TI
- Melhorar o nível de qualidade dos serviços de TI
- Estabelecer e manter relacionamento com clientes e fornecedores
- Maximizar uso de recursos
- Otimizar custos
- Gestão de Riscos (Identificar, analisar e mitigar)
- Estabelecer e manter a conformidade com as leis e regulamentos
- Promover a integração entre o Negócio e a TI
- Gerar valor para empresa
Governança de TI:
13
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
Introdução
Gestão da Segurança da Informação Controle Internos
Confidencialidade
Integridade
Disponibilidade
Gestão de Risco de TI
Processos
Evidências
Guia de Auditoria
Gestão de Risco Corporativo (ERM)
ISO 17799 /ISO 27001 Cobit, ITIL, ISO 17799...
COSO
COBIT
Mudança de VisãoOntem: Gestão de Segurança da Informação
Hoje: Gestão de Risco (Segurança da Informação + Controle Interno)
GovernançaCorporativa
Governançade TI
14
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
IntroduçãoVisão geral sobre Risco- Definição- Natureza do Risco- Componentes
"O sábio antevê o perigo e protegê-se, mas os imprudentes passam e sofrem as conseqüências." Provérbio 22:3
15
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
Gestão de Riscos
Introdução
Não Identificaçãodo Risco
Ocorrênciado evento
Materializaçãodo Risco
Exposiçãoao Risco
Identificaçãodo Risco
Análise/Avaliaçãodo Risco
Respostaao Risco
RiscoMitigado
16
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
Definição de Risco:Risco é qualquer evento que pode afetar a habilidade de empresa a alcançar seus objetivos.
Abrangendo (agentes de riscos):Perigo: Coisas ruins que acontecemIncerteza: Coisas que não ocorrem como esperadoOportunidade: Coisas boas que acontecem
Definição segundo ISO/IEC Guide 73: O risco pode ser definido como a combinação da probabilidade de um acontecimento e das suas conseqüências.
Gestão de Risco
Evento: Riscos e OportunidadesOs eventos podem gerar impacto tanto negativo quanto positivo ou ambos. Os que geram impacto negativo representam riscos que podem impedir a criação de valor ou mesmo destruir o valor existente. Os de impacto positivo podem contrabalançar os de impacto negativo ou podem representar oportunidades, que por sua vez representam a possibilidade de um evento ocorrer e influenciar favoravelmente a realização dos objetivos, apoiando a criação ou a preservação de valor. A direção da organização canaliza as oportunidades para seus processos de elaboração de estratégias ou objetivos, formulando planos que visam ao aproveitamento destes.
Infra-estrutura:Disponibilidade de bensCapacidade dos bensAcesso ao capitalComplexidadePessoal:Capacidade dos empregadosAtividade fraudulentaSaúde e segurançaProcesso:CapacidadeDesignExecuçãoDependências / fornecedores
Tecnologia:Integridade de dadosDisponibilidade de dados Disponibilidade de sistemasSeleção de sistemasDesenvolvimentoAlocaçãoManutenção
Even
tos
Inte
rnos
Econômicos:Disponibilidade de capitalEmissões de crédito, inadimplênciaConcentraçãoLiquidezMercados financeirosDesempregoConcorrênciaFusões / aquisiçõesMeio Ambiente:Emissões e dejetosEnergiaDesastres naturaisDesenvolvimento sustentável
Políticos:Mudanças de governoLegislaçãoPolítica públicaRegulamentosSociais:Características demográficasComportamento do consumidorPrivacidadeTerrorismoTecnológicos:InterrupçõesComércio eletrônicoDados externosTecnologias emergentes
Even
tos
Exte
rnos
Categorias dos Eventos:
17
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
Natureza do Risco:
Gestão de Risco
Risco de Legal/Compliance2: Risco decorrente da ausência de cumprimento às leis, regulamentações e normas emitidas por órgãos reguladores ou políticas corporativas.
Risco de Crédito1: Que uma das partes não honre seus compromissos financeiros
Risco de Mercado: Relacionado ao retorno esperado de ativos e passivos, em decorrência de variações em fatores como taxas de juros, de câmbio, índices de inflação e cotação de ações.
Risco Operacional: Relacionado à manifestação de eventos que ocasionem a interrupção dos negócios, erros, falhas, fraudes e omissões com impacto para os clientes e instituições.
Risco de Subscrição: Risco oriundo de uma situação econômica adversa que contraria tanto as expectativas da sociedade seguradora no momento da elaboração de sua política de subscrição quanto as incertezas existentes na estimação das provisões.
Risco Aturial: Relaciona-se às incertezas existentes tanto na definição da tábua biométrica e da taxa de juros, quanto na constituição das provisões técnicas (situação econômica adversa diferente da expectativa da entidade
2 – Conformidade com leis e regulamentações
1 - O tema "risco operacional" evoluiu consideravelmente nos últimos cinco anos. O termo "risco operacional" foi provavelmente mencionado pela primeira vez depois do caso de falência do Barings. Foi a partir daí que o mercado financeiro se conscientizou de que esses riscos, atéentão ignorados, tinham o potencial de afetar consideravelmente os resultados das operações e não podiam ser classificados como riscos de mercado nem riscos de crédito
18
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
Identificação
Avaliação/Análise
RiscosRiscos
Contramedidas(Countermeasures) Resposta ao Risco
Monitoramento
Gestão de Risco
Comunicação
Valor dos Ativos(Assets)
Valor dos Ativos(Assets)
Ameaças(Threats)Ameaças(Threats)
Vulnerabilidades(Vulnerabilities)
Vulnerabilidades(Vulnerabilities)
Gestão de Risco é um processo sistemático que tem como objetivo identificação, avaliação / analise, resposta (ação), comunicação e monitoramento de riscos.
19
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
A premissa inerente a gestão de riscos corporativos é que toda organização existe para gerar valor às partes interessadas. Todas as organizações enfrentam incertezas, e o desafio de seus administradores é determinar até que ponto aceitar essa incerteza, assim como definir como essa incerteza pode interferir no esforço para gerar valor às partes interessadas. Incertezas representam riscos e oportunidades, com potencial para destruir ou agregar valor. A gestão de riscos corporativos possibilita aos administradores tratar com eficácia as incertezas, bem como os riscos e as oportunidades a elas associadas, a fim de melhorar a capacidade de gerar valor.O valor é maximizado quando a organização estabelece estratégias e objetivos para alcançar o equilíbrio ideal entre as metas de crescimento e de retorno de investimentos e os riscos aelas associados, e para explorar os seus recursos com eficácia e eficiência na busca dos objetivos da organização. O gerenciamento de riscos corporativos tem por finalidade:
Gestão de Riscos CorporativosA ERM (Enterprise Risk Management) Gestão de Risco Corporativos é um processo conduzido em uma organização pelo Conselho de Administração(CA), diretoria e demais empregados, aplicado no estabelecimento de estratégias, formuladas para identificar em toda a organização eventos em potencial, capazes de afetá-la, e administrar os riscos de modo a mantê-los compatível com o apetite a risco da organização e possibilitar garantia razoável do cumprimento dos seus objetivos.
Componentes
20
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
Gestão de Riscos CorporativosAlinhar o apetite a risco com a estratégia adotada – os administradores avaliam o apetite a risco da organização ao analisar as estratégias, definindo os objetivos a elas relacionados e desenvolvendo mecanismos para gerenciar esses riscos.
Fortalecer as decisões em resposta aos riscos – o gerenciamento de riscos corporativos possibilita o rigor na identificação e na seleção de alternativas de respostas aos riscos – como evitar, reduzir, compartilhar e aceitar os riscos.
Reduzir as surpresas e prejuízos operacionais – as organizações adquirem melhor capacidade para identificar eventos em potencial e estabelecer respostas a estes, reduzindo surpresas e custos ou prejuízos associados.
Identificar e administrar riscos múltiplos e entre empreendimentos –toda organização enfrenta uma gama de riscos que podem afetar diferentes áreas da organização. A gestão de riscos corporativos possibilita uma resposta eficaz a impactos inter-relacionados e, também,respostas integradas aos diversos riscos.
Aproveitar oportunidades – pelo fato de considerar todos os eventos em potencial, a organização posiciona-se para identificar eaproveitar as oportunidades de forma proativa.
Otimizar o capital – a obtenção de informações adequadas a respeito de riscos possibilita à administração conduzir uma avaliação eficaz das necessidades de capital como um todo e aprimorar a alocação desse capital.
Componentes
21
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
> Vantagem Competitiva
Motivação: Gestão de Risco
> Aumentar a satisfaçãodo cliente
> Aumentar a eficiênciaoperacional
> Redução de Custos
> Controle de recursos(prevenção a perdas)
> Requisitos legal e/oude regulamentação
22
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
Integração e Comunicação:
Processos:Gestão porProcessos
Pessoas:Capacitaçãoe Motivação
Produtos:Uso de ferramentasde produtividade
A Integração das Pessoas, dos Processos e dos Produtos(Tecnologias & ferramentas) e bom Plano de Comunicação aumentam a chance de sucesso da Gestão de Risco.
Fatores Críticos de Sucesso:
23
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
Gestão de Risco de TI:- Identificando os riscos - Analisando de Severidade do Risco (Impacto vs Probabilidade)- Respostas ao Risco- Monitoramento
"A vida é ou uma aventura audaciosa, ou não é nada. A segurança é geralmente uma superstição. Ela não existe na natureza."Helen Keller
24
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
Gestão de Risco de TI
Erros & FalhasVírus
Áreas de Risco de TI – Soluções:
Gestão de Segurança da Informação:- Segurança Física e Lógica- Gerenciamento de Identidade- Plano de Continuidade de Serviços de TI
- GRC (Governance, Risk and Compliance)
- Gestão de Projetos (Desenvolvimento de Software)
- Gestão de Fornecedores / Outsourcing
Sistemas
25
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
Modelo de Governança de TI:
Governança de TI
Arquitetura de TI
Recursos (Pessoas, Informação, Infra-estrutura, Aplicações)
Requisitos do Negócio Leis e Regulamentações
Qualidade
Gestão deProjetos
Serv
iços
de
TI
Fábr
ica
de
de S
oftw
are
Forn
eced
ores
Ges
tão
Estr
atég
ica
de T
IBPM
Cobit
ISO9001 /Seis Sigma
Governança doNegócios
Governança deConformidade
Governança Corporativa
BSC COSO
Modelo de Governança de TI (Foco na Gestão de Risco):
Segurança da InformaçãoISO17799/ ISO27001Gestão por
Processos
PMBok/PMI
BSC-TI ITIL /ISO20000 CMMi SAS70 /
e-SCM
26
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
Gestão de Risco
Identificação
Avaliação/Análise
RiscosRiscos
Contramedidas(Countermeasures) Resposta ao Risco
Monitoramento
Comunicação
Valor dos Ativos(Assets)
Valor dos Ativos(Assets)
Ameaças(Threats)Ameaças(Threats)
Vulnerabilidades(Vulnerabilities)
Vulnerabilidades(Vulnerabilities)
Gestão de Risco é um processo sistemático que tem como objetivo identificação, avaliação / analise, resposta (ação) comunicação, monitoramento de riscos.
27
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
Impacto & Probabilidade:
2-MédioMultas e Penalidades
1-BaixoAdvertência/Notificação
1-BaixoAtraso o processo de tomada de decisão
2-MédioPerda de ativos
3-AltoInterrupção nas operações
3-AltoDanos a reputação e a imagem da empresa
3-AltoDanos e/ou perda do valor da marca
3-AltoImpacto Financeiro
NívelImpacto
1-BaixoBaixa
2-MédioMédia
3-AltoAlta
NívelProbabilidade
> Qual é impacto nos negócios ?
> Qual é a probabilidade de ocorrer o evento ?
28
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
Probabilidade:
A teoria da probabilidade permite que se calcule a chance de ocorrência de um número em um experimento aleatório.
Conceito de probabilidade:Se em um fenômeno aleatório as possibilidades são igualmente prováveis, então a probabilidade de ocorrer um evento A é:
O acaso:“É provável que o meu tipo ganhe a partida de hoje”, pode resultar:a) Que apesar do favoritismo, perca;b) que, como pensamos, ganhe;c) que empate.
Exemplo:
No lançamento de um dado, um número par pode ocorrer de 3 maneiras diferentes dentre 6 igualmente prováveis, portanto, P = 3/6 50%
29
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
Impacto x Probabilidade (Severidade do Risco)
Controlar
Compartilhar / Transferir Evitar, Mitigar & Controlar
Aceitar
Baixo
Alto
IMPACTO
Probabilidade Alto
Gestão de Risco
30
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
Mapa de Risco:
Controlar
Compartilhar / Transferir Evitar, Mitigar & Controlar
Aceitar
Baixo
Alto
IMPACTO
ProbabilidadeAlto
Gestão de Risco
A1
A1
A4A2
C1
A3
C2
B1
B1
B2
0 2 3
2
3
31
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
Guias, Padrões, Normas, Metodologia e Frameworks- Gestão de Risco Operacional: COSO- Governança de TI & Gestão Estratégica de TI: COBIT- Gestão de Serviços de TI: ITIL- Gestão de Segurança da Informação: ISO 17799- Desenvolvimento de Software: Práticas PMBok e Processo Unificado- Gestão de Fornecedores: e-SCM.
Ernest Hemingway
"Não confunda movimento com ação."
32
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
CobitCobit
A Evolução do Cobit: A Governança
Modelo de Governança de TI
Principais características do Cobit:- Orientado a Negócio- Orientado a Processos
- Baseado em Controles- Dirigido pelas mensurações
Control Objectives for Information and related TechnologyControl Objectives for Information and related Technology
Cobit é um framework (guia) que tem um conjunto de componentes que representam as melhores praticas para Governança de TI, Controle, Auditoria de TI e Compliance com regulamentação (SOX).
33
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
CobitCobitAplicação
CobitCobit
Governança de TI
Compliance SOX
Controle Cobit fornece um framework de controle que contribui para:- Oferecendo um link entre o negócio e TI- Organizando as atividades em processos- Identificando os recursos de TI- Definindo o gerenciamento dos objetivos decontrole
Cobit tem suporte a Governança de TI e fornece um framework que garante:- Alinhamento de TI com negócios- Maximização os benefícios de TI- Uso adequado dos recursos de TI - Gerenciamento de Riscos de TI
IT Control Objectives fo SOXFornece um guia de como garantir aconformidade (compliance) para áreade TI baseado nos Objetivos de Controle
Auditoria de TI IT Assurance GuideFornece uma abordagem de auditoria e um guia que dá suporte a auditoria dos processos Cobit
Comparaçõese Atualizações Cobit On-line (Benchmarking)
Control Objectives for Information and related TechnologyControl Objectives for Information and related Technology
Implantação PME1
1 – Pequenas e Médias Empresas
Cobit Quick Start
Metodologia deImplantação
Implementaion Guideline
34
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
Modelo de Governança de TI:
Alinhamento Estratégico Entrega de Valor
Gerenciamento de Recursos
Gerenciamento de RiscoMedição de Performance
Garantia da ligação entre o negócio e planos de TI, manutenção e validação da proposição de valor da TI, Alinhada com as operações da empresa
Execução da Proposição de valor através doTempo, assegurando que TI entregue os benefícios prometidos de acordo com estratégia,concentrando-se em otimizar custos e em comprovar o valor intrínseco de TI
Conhecimento dos riscos, entendimento claro dos requisitos de compliance e das tendências da empresa para os riscos, transparência acerca dos riscos significantes para empresa e incorporação de responsabilidade para o gerenciamento dos riscos
Otimização do investimentos e da gestão adequada de recursos (aplicações, pessoas, informações e infra-estrutura), essenciais para prover os subsídios de que a empresa necessita para cumprir os seus objetivos
Acompanhamento e monitoramento da implantação da estratégia, do andamento dos projetos, da utilização de recursos, do desempenho dos processos e da entrega dos serviços, utilizando medições, indicadores de desempenho.
CobitCobit Control Objectives for Information and related TechnologyControl Objectives for Information and related Technology
35
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
Cobit – Detalhes do Framework
InformaçãoInformação
Planejar eOrganizar
Monitorar eAvaliar
Entregar e Suporte
Recursos de TIAplicaçõesInformaçãoInfra-estruturaPessoas
Adquirir eImplementar
EficiênciaEficáciaConfidencialidadeIntegridadeDisponibilidadeConformidadeConfiabilidade
4 - Domínios
7- Critérios daInformação
4- Recursos
Objetivos de negócios e Objetivos de Governança de TI
CobitCobit Control Objectives for Information and related TechnologyControl Objectives for Information and related Technology
36
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
Entendendo o Cobit:Todos os componentes são inter-relacionados fornecendo suporte a Governança de TI, Gerenciamento de Serviços , Controle e Auditoria.
Processos de TI
Processos de TI
Objetivos deControle
Objetivos deControle
Práticas deControle
Práticas deControle
Controlados por
Implementadospor
Requisitos
KPIKPI
KGIKGI
ModeloMaturidade
ModeloMaturidade
mensurado por
Nível deMaturidade
Indicador dePerformance
Indicador deResultados
Metas das AtividadesMetas das Atividades
Guia deAuditoriaGuia de
Auditoria
Traduzindoem
NegócioNegócio
AuditadoporR
ealiz
ado
com
ef
icác
ia e
efic
iênc
ia
CobitCobit Control Objectives for Information and related TechnologyControl Objectives for Information and related Technology
37
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
CobitCobitCobit – Detalhes do Framework
Planejamento e Organização (PO)P01 - Definição plano estratégico TIP02 - Definição arquitetura de informaçãoP03 - Determinação do direcionamento
tecnológicoP04 - Definição da organização de TI e
relacionamentosP05 - Gerenciamento do Investimento de TIP06 - Comunicação de objetivos e direcionamentoP07 - Gerenciamento de recursos humanos de TIP08 - Gerenciar QualidadeP09 - Avaliar e Gerenciar riscos de TIP10 - Gerenciamento de Projetos
4 - Domínios e 34 - Processos :
Adquisição e Implementação (AI)AI01 – Identificar soluções automatizadasAI02 - Aquisição e manutenção de sistemas
aplicativosAI03 – Aquisição e manutenção de tecnologia
de infra-estruturaAI04 – Habilitar a operação e usoAI05 – Obter recursos de TIAI06 – Gerenciar mudançasAI07 – Instalação, homologação de soluções e mudanças
Control Objectives for Information and related TechnologyControl Objectives for Information and related Technology
Entrega e Suporte (DS)DS01 – Definição de níveis de serviçoDS02 - Gerenciamento de serviços de terceirosDS03 – Gerenciamento de performance ecapacidadeDS04 – Assegurar a continuidade dos serviçosDS05 – Assegurar a segurança dos sistemasDS06 – Identificar e alocar custosDS07 - Educar e treinar usuáriosDS08 – Gerenciar Service Desk e incidentesDS09 – Gerenciar configuraçõesDS10 - Gerenciar problemasDS11 – Gerenciar dadosDS12 – Gerenciar ambiente físicoDS13 – Gerenciar operações
Monitoramento e Avaliação (ME)ME01 – Monitorar e avaliar o desempenho de TIME02 – Monitorar e avaliar os controles internosME03 – Assegurar a (compliance) com as
regulamentaçõesME04 – Prover Governança de TI
38
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
Cobit – Detalhes do Framework
Critérios da Informação:Para satisfazer os objetivos de negócios as informações devem estar em conformidade com os seguintes critérios:
Qualidade:Effectiveness (Eficácia) – A informação deve ser relevante e pertinente aos processos de negócios bem como ser entregue com temporalidade, corretude, consistência eusabilidade.Efficiency (Eficiência) – Informação deve ser fornecida com o uso de recursos da forma mais produtiva e econômica
Requisitos deNegócios
Requisitos deGovernança
Serviços deInformação
Critério daInformaçãoCritério daInformação
requer influência
implica
Metas de Negócios para TI
Processosde TI
Processosde TI
Informação
Aplicações
Pessoas
entrega
executa
necessita
Arquitetura de TI
QoS
Infraestruturanecessita
CobitCobit Control Objectives for Information and related TechnologyControl Objectives for Information and related Technology
39
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
Cobit – Detalhes do Framework
Segurança:Confidentiality (Confidencialidade) – A informação suscetível deve ser protegida de acesso não autorizadoIntegrity (Integridade) – Informação deve ser precisa e completa, bem como sua validadedeve estar em concordância com o conjunto de valores e expectativas do negócioAvailability (Disponibilidade) – Informação deve ser disponível quando requerida pelo processo de negócio agora e no futuro, e deste modo deve ser salvaguardada enquantoRecurso
Fiduciário:• Compliance (Conformidade) – Informação deve estar em conformidade com leis, regulamentos, e arranjos contratuais dos quais os processos de negócios estão sujeitos• Reliability (Confiabilidade) - Informação deve ser provida de forma apropriada,permitindo seu uso na operação da organização, na publicação de relatóriosfinanceiros para seus usuários e órgãos fiscalizadores, conforme leis e regulamentos
Critérios da Informação:Para satisfazer os objetivos de negócios as informações devem estar em conformidade com os seguintes critérios:
CobitCobit Control Objectives for Information and related TechnologyControl Objectives for Information and related Technology
40
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
Cobit – Detalhes do Framework
Recursos:Para atender os requisitos de negócio, a empresa deve ter recursos suficientes e capacitados.
Recursos Descrição
PessoaAs pessoas requeridas para planejar, organizar, adquirir, entregar, dá suporte e monitor os aplicativos, processos e serviços de TI. As pessoas podem ser funcionários ou terceirizadas
Aplicativos São os procedimentos manuais e os automatizados.
Infra-estrutura(instalações)
É a tecnologia e facilidades com Hardware, software (Sistema Operacional, Banco de Dados, Linguagens, Compiladores, redes)
Informação Informação são os dados em todas as formas (entradas, processados e saída) pelas aplicações (sistemas de informação)
CobitCobit Control Objectives for Information and related TechnologyControl Objectives for Information and related Technology
41
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
Cobit – Detalhes do FrameworkModelo de Maturidade:
O modelo de maturidade é uma forma de medir quão bem estão desenvolvidos os processos. O desenvolvimento dos processos, dependem das necessidades do negócio.
Legenda:
O - Inexistente: Gerenciamento de processos não são aplicados1 - Inicial: Processos são informais e desorganizados2 - Repetitivo – Os processos são intuitivo e seguem um padrão3 – Definido - Os processos são formais, documentados e comunicados e aplicados4 - Gerenciado – Processos são monitorados e medidos5 - Otimizado – Melhores práticas são seguidas e os processos são automatizadasÉ aplicado o ciclo de melhoria continua.
44
Tempo
Nív
el d
e M
atur
idad
e
Não existe
Inicial(caótico)
Repetitivo(reativo)
Definido(pro-ativo)
Otimizado(valor)
Gerenciado(serviço)
Valor
< pior Melhor >
CobitCobit Control Objectives for Information and related TechnologyControl Objectives for Information and related Technology
42
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
O Cubo Cobit 3D
Recursos
Requisitos de Negócio
Pro
cess
os d
e TI
Recursos de TI são gerenciados pelos processos de TI para alcançar as metas de TI que responde aos requisitos de negócios. Este é principio básico do Framework Cobit.
CobitCobit Control Objectives for Information and related TechnologyControl Objectives for Information and related Technology
43
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
Planejamento e OrganizaçãoP09 - Avaliar e Gerenciar riscos de TI PO9
CobitCobit Control Objectives for Information and related TechnologyControl Objectives for Information and related Technology
Descrição do Processo:Uma framework (estrutura) da gerência de risco é criada e mantida. A framework documenta um comum nível acordado de Risco de TI, Estratégias do mitigação e Riscos Residuais. Todo o impacto potencial nos objetivos da organização causada por um evento não planejado éidentificado, analisado e avaliado. As estratégias do mitigação do risco são adotadas para minimizar o risco residual a um nível aceitável. O resultado da avaliação é compreensível às partes interessadas e é expressada em termos financeiros, para permitir que as partes interessadas (stakeholders) de alinhe o risco ao nível aceitável de tolerância.
Critérios deInformaçãoCritérios deInformação
Processos TIProcessos TI
Secundário:Eficácia eEficiência ConformidadeConfiabilidade
Primário:ConfidencialidadeIntegridadeDisponibilidade
Áreas da Governança de TI Recursos Critérios de Informação
44
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
Planejamento e OrganizaçãoP09 - Avaliar e Gerenciar riscos de TI PO9
CobitCobit Control Objectives for Information and related TechnologyControl Objectives for Information and related Technology
Descrição do Processo:
Controle sobre o processo de TI:Avaliar e Gerenciar os Risco de TIQue satisfaz os requisitos de negócio para TI de:Analisando e comunicando os risco de TI e seus potenciais impactos sobre os processos de negócios e metasFocando sobre:Desenvolvimento de um Framework Gestão de Risco que é integrado com negócio e framework de gerenciamento de risco operacional, avaliação de risco, mitigação e comunicação de risco residualÉ alcançado pela:- Garantia que a gestão de risco é completamente embutida na Gestão de Processos, internamente e externamente e consistentemente aplicada- Fazendo a avaliação de Risco-Recomendando e comunicando planos de ações para remediar o riscoÉ mensurado por:% de Objetivos críticos cobertos pela avaliação de risco% de Risco de TI identificado críticos com plano de ação desenvolvido% de Plano de Ação da Gestão de Risco aprovado para implementação
45
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
Planejamento e OrganizaçãoP09 - Avaliar e Gerenciar riscos de TI PO9
CobitCobit Control Objectives for Information and related TechnologyControl Objectives for Information and related Technology
Objetivos de Controle:
PO9.1 IT Framework Gestão de Risco:Estabelecer um framework para Gestão de Risco de TI, que será alinhado com frameworkGestão de Risco da organização
PO9.2 Estabelecimento de Contexto do Risco:Estabelecer o contexto em que framework de avaliação de risco é aplicado para garantirresultados apropriados. Isto deve incluir determinado contexto interno e externo de cada avaliação de risco, o objetivo da avaliação e critério contra quais os riscos são avaliados
PO9.3 Identificação do Evento:Identificar eventos (uma ameaça realística importante que explore uma vulnerabilidade aplicável significativo) com um impacto negativo potencial nos objetivos ou nas operações da empresa, incluindo o negócio, regulamentações, legal, a tecnologia, parceiros de negócios, recursos humanos e aspectos operacionais. Determinar a natureza do impacto e manter esta informação. Registrar e manter riscos relevantes em um registro do risco.
PO9.4 Avaliação de Risco:Avaliar em uma base recorrente a probabilidade e o impacto de todos os riscos identificados, usando métodos qualitativos e quantitativos. A probabilidade e o impacto associados com o risco inerente e residual devem ser determinados individualmente, pela categoria e em uma base do portfolio.
46
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
Planejamento e OrganizaçãoP09 - Avaliar e Gerenciar riscos de TI PO9
CobitCobit Control Objectives for Information and related TechnologyControl Objectives for Information and related Technology
Objetivos de Controle:
PO9.5 Resposta ao Risco:Desenvolver e manter um processo de resposta do risco projetado para assegurar que custo efetivo do controle mitiga a exposição aos riscos em uma base continuada. O processo de resposta do risco deve identificar estratégias de resposta ao risco tais como evitar, reduzir, compartilhar ou a aceitar; determinar responsabilidades associadas; e considerar níveis de tolerância do risco.
PO9.6 Manutenção e Monitoramento do Plano de Ação do Risco:Dar prioridade e planejar às atividades de controle em todos os níveis e executar as respostas do risco identificado quando necessário, incluindo a identificação dos custos, benefícios e responsabilidade para a execução. Obter a aprovação para ações e a aceitação das recomendadas de todos os riscos residuais e assegurar-se de que as ações realizadas sejam conhecidas pelos proprietários dos processos afetados. Monitorar a execução dos planos e do relatório sobre qualquer desvios à gerência sênior.
47
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
Planejamento e OrganizaçãoP09 - Avaliar e Gerenciar riscos de TI PO9
CobitCobit Control Objectives for Information and related TechnologyControl Objectives for Information and related Technology
Guia de Gerenciamento:Entradas Saídas
48
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
Planejamento e OrganizaçãoP09 - Avaliar e Gerenciar riscos de TI PO9
CobitCobit Control Objectives for Information and related TechnologyControl Objectives for Information and related Technology
Guia de Gerenciamento:
49
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
Planejamento e OrganizaçãoP09 - Avaliar e Gerenciar riscos de TI PO9
CobitCobit Control Objectives for Information and related TechnologyControl Objectives for Information and related Technology
Modelo de Maturidade:
0 Inexistente, quando:Avaliação de risco para processos e decisões de negócios não ocorre. A empresa não considera os impactos do negócio associados com vulnerabilidade de segurança e as incertezas de projeto de desenvolvimento. Gestão de Risco não é identificada como relevante para aquisição de soluções de TI e para entregar de serviços de TI.
1 Inicia/Ad Hoc quando:Os riscos de TI são considerado em uma maneira ad hoc. As avaliações informais do risco do projeto ocorrem como determinado por cada projeto. As avaliações de risco são identificadas às vezes em uma plano de projeto mas raramente atribuídas aos gerentes específicos. Os riscos específicos relacionados, tais como a segurança, a integridade e a disponibilidade (SID), são considerados ocasionalmente em uma base de projeto-por-projeto. Os risco relacionado com TI afetam as operações do dia-a-dia e são raramente discutidos em reuniões de gerência. Onde os riscos foram considerados, o mitigação éinconsistente. Há um entendimento emergente que os risco de TI é importante e a necessidade para considera-los.
2 Repetivivo, mas intuitivo, quando:Um desenvolvimento de uma abordagem de avaliação de risco existe e é implementada com discriçãopelo gerente de projeto. A gerência de risco está geralmente em em nível elevado e é aplicada tipicamente somente aos projetos principais ou em resposta aos problemas. Os processos do mitigação do risco estão começando ser executados onde os riscos são identificados
50
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
Planejamento e OrganizaçãoP09 - Avaliar e Gerenciar riscos de TI PO9
CobitCobit Control Objectives for Information and related TechnologyControl Objectives for Information and related Technology
Modelo de Maturidade:3 Definido, quando:Uma política de gerência do risco da organização define quando e como conduzir as avaliações de risco. A gestão de risco segue um processo definido que seja documentado. O treinamento de gestão de risco está disponível a todos os colaboradores. As decisões para seguir o processo de gestão de risco e para receber o treinamento são deixadas à discrição individual. A metodologia para a avaliação do risco estáconvencendo e assegura que os riscos chaves do negócio estejam identificados. Um processo para mitigar os riscos chaves é instituído uma vez que os riscos são identificados. As descrições de trabalho consideram responsabilidades da gestão de risco.
4 Controlado, mensurando quando: A avaliação e a gestão do risco são procedimentos padrões. As exceções ao processo de gestão de risco são relatadas pela gestão. Gerência de risco é uma responsabilidade sênior do gerência-nível. O risco éavaliado e mitigado no nível do projeto individual e também regularmente no que diz respeito todas as operações de TI. A gestão é recomendada a todas as mudanças no negócio e no ambiente de TI, que poderia afetar significativamente os cenários-relacionados ao risco. A gestão pode monitorar a posição do risco e informar as decisões a respeito da exposição que é disposto aceitar. Todos os riscos identificados têm um proprietário nomeado, e a gerência sênior e gestão determinam os níveis do risco que a organização tolerará. Gerência desenvolve medidas padrão para avaliar o risco e definir o risco/taxa de retorno. Os orçamentos da gestão para uma gerência de risco operacional projetam-se em uma base regular. Uma base de conhecimento da gestão de risco é estabelecida e a parte dos processos da gerência de risco está começando a ser automatizada. Gerência considera estratégias do mitigação de risco
51
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
Planejamento e OrganizaçãoP09 - Avaliar e Gerenciar riscos de TI PO9
CobitCobit Control Objectives for Information and related TechnologyControl Objectives for Information and related Technology
Modelo de Maturidade:
5 Otimizado, quandoA gestão de risco torna-se ao estágio onde estruturado, processo do organização é reforçado e bem controlado. As melhores práticas são aplicadas por toda a organização. A captura, a análise e o relatório de dados da gerência de risco são automatizados. A orientação é extraída dos líderes de campo, e organização faz avaliação para saber se existe experiências da troca nos grupos. A gestão de risco éintegrada verdadeiramente com o negócio e as operações de TI, ela é bem aceita e envolve extensivamente os usuários de serviços de TIA gestão identifica e age quando são tomadas decisões de investimento sem consideração do plano de gestão de risco. A gerência avalia continuamente estratégias do mitigação de risco.
52
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
COSOCOSO Comittee of Sponsoring Organizations of the Treadway ComissionComittee of Sponsoring Organizations of the Treadway Comission
53
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
O processo regulatório referente a controle internos tem um marco importante nos Estados Unidos por ocasião da lei aprovada pelo Congresso Americano, em dezembro de 1987, chamada de Foreign Corrupt Practices Act (FCPA). Essa lei restringe-se a sociedades anônimas por ações. As empresas sob FCPA, são obrigadas a criar e implementar e manter sistemas de controle que ofereçam garantias de que as transações serão registradas de conformidade com os princípios contábeis.Os Auditores Independentes através do AICPA, em SAS 55, pregam que a administração deve estabelecer uma estrutura de controle interna composta por 3 elementos: Ambiente de controle; sistema contábil e procedimento de controle.Um estudo neste sentido foi feito pela Treadway Commission.A recomendação do Treadway Commission, no sentido de desenvolver-se uma definição comum de controle interno com diretrizes processuais, criou-se o COSO, Comitê das Organizações Patrocinadoras.O modelo apresentado pelo COSO em 1992 e atualizado em 1994 (Internal Control –Integrated Framework), atualmente conhecido como COSO 1, definiu o controle interno e elaborou critérios para a avaliação de sistemas. O COSO 1 responsabiliza pelo processo de controle interno o Conselho Diretor (Board), a Administração (Directors) e os funcionários da entidade.Ele estabelece o processo como garantidor para a realização de objetivos das seguintes categorias:
Elementos de Regulamentação Norte-Americanas sobre Controle Interno
COSOCOSO Committee of Sponsoring Organizations of the Treadway ComissionCommittee of Sponsoring Organizations of the Treadway Comission
54
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
- Eficácia e eficiência de operações;- confiabilidade dos relatórios financeiros- cumprimento das leis e regulamentos pertinentes.
O COSO 1 sugere também que a avaliação do processo de controle interno deva ser pontual ao longo do tempo (exemplo: trimestral, anual...).
O modelo define ainda que um sistema de controle interno deve ter 5 componentes relacionados:1 – Ambiente de controle (com foco na estrutura organizacional e as relações com o ambiente externo);2 – Avaliação de risco;3 – Atividade de controle (políticas e procedimentos);4 – informações e comunicações5 – Monitoramento
Elementos de Regulamentação Norte-Americanas sobre Controle Interno
COSOCOSO Committee of Sponsoring Organizations of the Treadway ComissionCommittee of Sponsoring Organizations of the Treadway Comission
55
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
Após o COSO , o AICPA emitiu o SAS (Statement of Auditing Stardard – Declaração Padrão de Auditoria) 78 que adere ao COSO 1, tornou um padrão para as firmas de Auditorias.A Fundação de Auditoria e Controle de Sistemas de Informações (ISAF) criou um padrão chamado COBIT (Objetivo de Controle de Informações e Tecnologias Relacionadas), publicado em 1995 (primeira versão). O COBIT partiu do modelo COSO 1.
O COBIT é focado nos processos de tecnologia de informação e seus relacionamentos com o controle interno.Esses documentos, COSO 1, SAS 78 e COBIT enfatizam que a administração éresponsável por estabelecer, manter e monitorar o sistema de controle interno de uma empresa.
Elementos de Regulamentação Norte-Americanas sobre Controle Interno
COSOCOSO Committee of Sponsoring Organizations of the Treadway ComissionCommittee of Sponsoring Organizations of the Treadway Comission
56
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
Existe um relacionamento direto entre os objetivos, que uma organização empenha-se em alcançar, e os componentes do gerenciamento de riscos corporativos, que representam aquilo que é necessário para o seu alcance.
Esse relacionamento é apresentado em uma matriztridimensional em forma de cubo.
As quatro categorias de objetivos (estratégicos, operacionais, de comunicação e conformidade) estão representadas nas colunas verticais.
Os oito componentes nas linhas horizontais
e as unidades de uma organização na terceira dimensão.
Essa representação ilustra a capacidade de manter oenfoque na totalidade do gerenciamento de riscos de uma organização, ou na categoria de objetivos, componentes, unidade da organização ou qualquer um dos subconjuntos.
Cubo Coso
O COSO propõem uma revisão técnica, chamada de ERM (Enterprise Risk Management Framework)conhecida como COSO 2.
COSOCOSO Committee of Sponsoring Organizations of the Treadway ComissionCommittee of Sponsoring Organizations of the Treadway Comission
57
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
ITILITIL Melhores Práticas para Gerenciamento de Serviços de TIMelhores Práticas para Gerenciamento de Serviços de TI
Sobre a ITIL:
O governo da Inglaterra buscava fazer redução de custos e de risco relacionados com área de TI. Pesquisas mostravam, porém, que mais de80% do custo dos Serviços de TI estava ligado ao dia-a-dia de sua operação e apenas 20% ao processo de desenvolvimento de software. Por esse motivo, foi criada a Biblioteca de Infra-estrutura de TI pelo CCTA (atual OGC). Esta biblioteca representa as melhores práticas para a Gestão Serviço de TI.
OCG – Office of GovernmentCommerce (antigo CCTA) :- Proprietário do ITIL- Comitê Gestor
TSO – The Stationery Office- Publicações da ITIL
itSMF – IT Service MngtForumGerenciamento de Serviçosde TIwww.itsmf.com.br
EXIN e ISEB- Certificações
® ITIL é uma marca registrada em nome do OGC
ITILITIL
Biblioteca composta por 5 livros
Conjunto de melhorespráticas para Gestão
de Serviços de TI
Abordagem para Gestão de Serviços TI (ITSM)
Padrão Aberto que tornou padrão de fato
Foco: Ciclo de vida dos Serviços
ISO 20000
58
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
ITILITIL Melhores Práticas para Gerenciamento de Serviços de TIMelhores Práticas para Gerenciamento de Serviços de TI
Adaptado do original de David Pultorak
59
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
Gestão de Configuração
Relacionamento com Negócio
Gestão do Nível de Serviço
Gestão deIncidentes
Gestão de Problemas
Gestão de Capacidade
Gestão de Disponibilidade
GestãoFinanceira de
Serviços de TI
Gestão de Continuidade
de Serviços de TI
Gestão de Liberação
Usu
ário
s
Central deServiços
Gerenciamento de Mudança
(porta) Ger
enci
amen
to d
e Se
gura
nça
Supo
rte
aos
Serv
iços
Entr
ega
de S
ervi
ços
ITILITIL Melhores Práticas para Gerenciamento de Serviços de TIMelhores Práticas para Gerenciamento de Serviços de TI
60
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
Gestão de Configuração
Relacionamento com Negócio
Gestão do Nível de Serviço
Gestão deIncidentes
Gestão de Problemas
Gestão de Capacidade
Gestão de Disponibilidade
GestãoFinanceira de
Serviços de TI
Gestão de Continuidade
de Serviços de TI
Gestão de Liberação
Usu
ário
s
Central deServiços
Gerenciamento de Mudança
(porta) Ger
enci
amen
to d
e Se
gura
nça
Supo
rte
aos
Serv
iços
Entr
ega
de S
ervi
ços
ITILITIL Melhores Práticas para Gerenciamento de Serviços de TIMelhores Práticas para Gerenciamento de Serviços de TI
61
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
As melhores práticas para o Gerenciamento de Serviços de TI
Usuários ServiceDesk
Gestão deIncidentes
Gestão deConfiguração
Gestão deProblema
Gestão deMudança
Gestão deLiberação
RFCSLA Monitoramento
Gestão SLM/SLA
Registro doIncidente
Ciclo PDCA
PlanejarPlan
ExecutarDO
AgirAct
VerificarCheck
Base deConhecimento
Base deConhecimento
Adotar eAdaptar
Gestão deCapacidadeGestão de
Capacidade
Gestão deDisponibilidade
Gestão deDisponibilidade
Gestão deContinuidade
Gestão deContinuidade
Gestão deFinanceiraGestão deFinanceira
Clientes(negócios)
Entrega dos Serviços
Suporte aos Serviços
ITILITIL Melhores Práticas para Gerenciamento de Serviços de TIMelhores Práticas para Gerenciamento de Serviços de TI
62
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
Gestão de Configuração (Configuration Management)
Gerenciar o banco de dados de todos os componentes necessários para fornecer serviços
ITILITIL Melhores Práticas para Gerenciamento de Serviços de TIMelhores Práticas para Gerenciamento de Serviços de TI
63
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
Itens de Configuração
ITILITIL Melhores Práticas para Gerenciamento de Serviços de TIMelhores Práticas para Gerenciamento de Serviços de TI
64
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
Tipos de Item de Configuração (IC):
SoftwareSoftwareHardwareHardware
DocumentaDocumentaççãoãoProcessos e procedimentos
Documentação técnicaDiagramas/gráficos
Contratos (SLA)
ICIC
ÉÉ necessnecessáário parario parafornecer um servifornecer um serviççoo
ITILITIL Melhores Práticas para Gerenciamento de Serviços de TIMelhores Práticas para Gerenciamento de Serviços de TI
65
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
Objetivo
ITILITIL Melhores Práticas para Gerenciamento de Serviços de TIMelhores Práticas para Gerenciamento de Serviços de TI
66
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
Justificativas
ITILITIL Melhores Práticas para Gerenciamento de Serviços de TIMelhores Práticas para Gerenciamento de Serviços de TI
67
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
Atividades
ITILITIL Melhores Práticas para Gerenciamento de Serviços de TIMelhores Práticas para Gerenciamento de Serviços de TI
68
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
Terminologia
ITILITIL Melhores Práticas para Gerenciamento de Serviços de TIMelhores Práticas para Gerenciamento de Serviços de TI
69
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
ITILITIL Melhores Práticas para Gerenciamento de Serviços de TIMelhores Práticas para Gerenciamento de Serviços de TI
70
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
Benefícios
ITILITIL Melhores Práticas para Gerenciamento de Serviços de TIMelhores Práticas para Gerenciamento de Serviços de TI
71
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
Gestão de Problema (Problem Management)
Incidentes X Problemas
Problema difere de incidente no objetivo, ou seja, enquanto a gerência de incidente tem como objetivo restaurar de forma mais rápida possível os serviços para os clientes, a gerência de problema tem que buscar a causa raiz do incidente, e sua conseqüente solução e prevenção.
ITILITIL Melhores Práticas para Gerenciamento de Serviços de TIMelhores Práticas para Gerenciamento de Serviços de TI
72
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
Um Um ProblemaProblema éé um erro de causa desconhecida que pode um erro de causa desconhecida que pode causar um ou mais incidentescausar um ou mais incidentes.
Um Um ProblemaProblema poderpoderáá ser um ser um Erro ConhecidoErro Conhecido ((KnownKnown ErrorError)) quando a causa raiz quando a causa raiz ((rootroot causecause) tornar conhecida e uma ) tornar conhecida e uma SoluSoluçção de Contornoão de Contorno ((workwork--aroundaround) ou ) ou
permanente for identificada e aplicada.permanente for identificada e aplicada.
Uma RDM Uma RDM (RFC)(RFC) propõe uma mudanpropõe uma mudançça (a (changechange), para eliminar ), para eliminar um Erro Conhecido um Erro Conhecido ((KnownKnown ErrorError))
ÉÉ um um ajuste temporajuste temporáário rio para evitar que o negpara evitar que o negóócio do cliente não fique parado ou com cio do cliente não fique parado ou com baixa qualidade. Não baixa qualidade. Não éé uma soluuma soluçção permanente e sim uma ão permanente e sim uma solusoluçção paliativaão paliativa..
Gestão de Problemas:
ITILITIL Melhores Práticas para Gerenciamento de Serviços de TIMelhores Práticas para Gerenciamento de Serviços de TI
73
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
ITILITIL Melhores Práticas para Gerenciamento de Serviços de TIMelhores Práticas para Gerenciamento de Serviços de TI
74
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
Infra-estrutura do Erro
Incidente Problema
Estrutura daResolução
Erro conhecido (Known Error) RDM (RFC)
Infra-estrutura do Erro
ITILITIL Melhores Práticas para Gerenciamento de Serviços de TIMelhores Práticas para Gerenciamento de Serviços de TI
75
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
Gerência deProblemas
ProblemProblemControlControl
ErrorErrorControlControl
SuporteSuporte dodoincidenteincidente
Atividades
GerenciamentoGerenciamentoReativoReativo
GerenciamentoGerenciamentoPrPróó--ativoativo
ITILITIL Melhores Práticas para Gerenciamento de Serviços de TIMelhores Práticas para Gerenciamento de Serviços de TI
76
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
O processo de Controle de Problema (Problem Control) está preocupado em agrupar os problemas de um modo eficiente e efetivo.
Tem como alvo controlar os problemas e identificar a causa Raiz (root cause), como por exemplo qual o Item de Configuração que causou a falha e prover a informação ao service desk com o possível work-around, quando disponível.
Controle do Problema (Problem Control)
ITILITIL Melhores Práticas para Gerenciamento de Serviços de TIMelhores Práticas para Gerenciamento de Serviços de TI
77
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
Problem Control
IdentificaIdentificaçção e registroão e registro
ClassificaClassificaççãoão
InvestigaInvestigaçção e diagnão e diagnóósticostico
Ger
aG
era çç
ão d
e in
form
aão
de
info
rma çç
ões
par
a:ões
par
a:Ras
trea
men
to (
Ras
trea
men
to (
trac
kin
gtr
acki
ng )
,
),
monitora
men
to e
rel
atm
onitora
men
to e
rel
atóório
rio
Determinar o Erro Conhecido (Determinar o Erro Conhecido (knowknow errorerror))e Solue Soluçção de Contorno ão de Contorno ((WorkWork--aroundaround))
ITILITIL Melhores Práticas para Gerenciamento de Serviços de TIMelhores Práticas para Gerenciamento de Serviços de TI
78
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
Método desenvolvido por Charles Kepner e Benjamin Tregoe.
Sistemática para resolver problemas e usar o máximo de vantagem do conhecimento e experiências: 1.1. DefinirDefinir o Problema2.2. Descrever o ProblemaDescrever o Problema relacionando identidade, localização, tempo e tamanho3. Estabilizar possíveis causascausas4.4. TestarTestar a causa mais provável5.5. VerificarVerificar a verdadeira causa
Análise de Kepner e Tregoe
ITILITIL Melhores Práticas para Gerenciamento de Serviços de TIMelhores Práticas para Gerenciamento de Serviços de TI
Diagrama de Ishikawa /causa e efeito ou Espinha de Peixe:
79
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
Um diagrama de Pareto é um tipo específico de histograma, ordenado por freqüência de ocorrência, que mostra quantos defeitos foram gerados por tipo ou categoria de causa identificada. Os diagramas de Pareto estão conceitualmente relacionados à Lei de Pareto, que afirma que um número relativamente pequeno de causas normalmente produzirá a grande maioria dos problemas ou defeitos. Isso geralmente é chamado de princípio 80/20, em que 80% dos problemas se devem a 20% das causas.
Diagrama de Pareto
Diagrama de Pareto
05
10152025303540
Client -Memória
Client - SO Servidor -Espaço em
disco
Banco deDados - Falta
de índice
Rede - Colisãode pacote
Servidor - No.Usuários
concorrente
Banco deDados - Query
Design -Usabilidade
Causas
Oco
rrênc
ias
ITILITIL Melhores Práticas para Gerenciamento de Serviços de TIMelhores Práticas para Gerenciamento de Serviços de TI
80
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
FechamentoFechamento
IdentificaIdentificaçção e ão e registroregistro
Registro da SoluRegistro da Soluçção ão do do ErroErro
AvaliaAvaliaçção do ão do ErroErro
Ger
aG
era çç
ão d
e in
form
aão
de
info
rma çç
ões
para
:õe
s pa
ra:
Ras
tream
ento
(R
astre
amen
to ( t
rack
ing
track
ing )
, ), m
onito
ram
ento
e re
lat
mon
itora
men
to e
rela
t óóriorio
Mudança implementada com sucesso
O processo de Controle do Erro, cobre o gerenciamento de erros conhecidos (know errors) até que estes possam ser eliminados definitivamente, através de um processo de mudança acompanhado pela gerência de mudança.
Controle do Erro (Error Control)
ITILITIL Melhores Práticas para Gerenciamento de Serviços de TIMelhores Práticas para Gerenciamento de Serviços de TI
81
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
Fornecer suporte de segundo/terceiro nível a incidentes.
Identificação de possíveis problemas:• Relatórios (análise de tendência)• Ferramentas de gerenciamento
Identificação e diagnóstico de problemas.
Prevenção de problemas
Monitorar a Gerência de Mudanças
Disparar mudanças para combater:• Ocorrência de incidentes• Repetição de incidentes
Gestão pró-ativa dos problemas
O processo de gerenciamento pró-ativo dos problemas cobre as atividades focadas em identificar e resolver os problemas antes mesmo que um incidente ocorra.
ITILITIL Melhores Práticas para Gerenciamento de Serviços de TIMelhores Práticas para Gerenciamento de Serviços de TI
82
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
IncidentIncidentManagementManagement
CapacityCapacityManagementManagement
ConfigurationConfigurationManagementManagement
Service LevelService LevelManagementManagement
AvailabilityAvailabilityManagementManagement
ProblemProblemManagementManagementProblemProblem ControlControl
ErrorError ControlControlPrPróó--atividadeatividade
Change Change ManagementManagement
Banco de DadosProblema
informação
Registro
informação
RFCRPI - Revisão de Pós-Implementação(PIR - Post Implementation Review)
Informações, Work-arounds
Relacionamento
ITILITIL Melhores Práticas para Gerenciamento de Serviços de TIMelhores Práticas para Gerenciamento de Serviços de TI
83
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
ITILITIL Melhores Práticas para Gerenciamento de Serviços de TIMelhores Práticas para Gerenciamento de Serviços de TI
84
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
ITILITIL Melhores Práticas para Gerenciamento de Serviços de TIMelhores Práticas para Gerenciamento de Serviços de TI
85
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
Gestão de Mudança (Change Management)
ITILITIL Melhores Práticas para Gerenciamento de Serviços de TIMelhores Práticas para Gerenciamento de Serviços de TI
86
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
Justificativas
ITILITIL Melhores Práticas para Gerenciamento de Serviços de TIMelhores Práticas para Gerenciamento de Serviços de TI
87
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
Terminologia
ITILITIL Melhores Práticas para Gerenciamento de Serviços de TIMelhores Práticas para Gerenciamento de Serviços de TI
88
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
Atividades
ITILITIL Melhores Práticas para Gerenciamento de Serviços de TIMelhores Práticas para Gerenciamento de Serviços de TI
89
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
O que deve ser consideradoITILITIL Melhores Práticas para Gerenciamento de Serviços de TIMelhores Práticas para Gerenciamento de Serviços de TI
90
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
Registro e Registro e classificaclassificaççãoão
AprovaAprovaççãoão
AvaliaAvaliaççãoãoRPI-Revisão de
Pós-Implementação *
AutorizaAutorizaçção e ão e implementaimplementaççãoão
Monitoramento eMonitoramento eplanejamentoplanejamento
ConstruConstruççãoão
ImplementaImplementaççãoão
TestesTestes
Change Management
Gestão doProjetos
Cha
nge
Cha
nge
Man
agem
ent
Man
agem
ent
Recusa
Recusa
Backout
ITILITIL Melhores Práticas para Gerenciamento de Serviços de TIMelhores Práticas para Gerenciamento de Serviços de TI
Atividades
RFC
91
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
Comite de Controle Mudança
Change Advisory BoardChange Advisory Board (CAB) Comitê de Controle de Mudanças (CCM)
O CAB é o comitê que aprova mudança e ajuda o gerente de mudança avaliar e a priorizar as mudanças
As reuniões têm uma base regular.têm uma base regular.Por exemplo: quinzenal.
CAB / Emergency CommitteeCAB / Emergency Committee (CAB/EC)Comitê de Controle de Mudanças/Comitê de Emergência (CCM/CE)
Tem a responsabilidade de fazer avaliação de mudança urgente.
As reuniões nãonão têmtêm base regularbase regular, acontecem quando solicitadas.
ITILITIL Melhores Práticas para Gerenciamento de Serviços de TIMelhores Práticas para Gerenciamento de Serviços de TI
92
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
Modelos de Requisições de Mudanças
ITILITIL Melhores Práticas para Gerenciamento de Serviços de TIMelhores Práticas para Gerenciamento de Serviços de TI
93
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
Modelo conforme o impacto nos negócios
Gerente de Mudança
Filtrar solicitaçãoInício
Gerente de Mudança
Defini a prioridadeinicial
Gerente de Mudança
Decidi o modelo e a categoria
Implementa a mudançausando o modelo
apropriado
Construção Mudança
Construir a mudança, plano de Backout & plano de
testes
TestadorindependenteTesta a mudança
Gerente de Mudança
Coordenar a implementação da
mudança
Gerente de Mudança
Rever a mudança
Fecha
Gerente de Mudança
Aprovar/rejeitar e agendar mudança; Relatório do plano
de ação para o CAB
Gerente de Mudança
Circular a RFC para o CAB
Gerente de Mudança
Circular a RFC para a diretoria da
empresa
menormaior significativo
Gestor Sênior / níveldo conselho
Aprovar/rejeitar a mudança
(Financeiro / Técnico / Negócios)
Gestor Sênior / nível do conselho
Aprovar/rejeitar a mudança
(Financeiro / Técnico / Negócios)
ITILITIL Melhores Práticas para Gerenciamento de Serviços de TIMelhores Práticas para Gerenciamento de Serviços de TI
94
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
Mudança Urgente
Gerente de Mudança
Filtrar solicitaçõesInício
Gerente de Mudança
Definir a prioridadeinicial
Gerente de Mudança
Chama o CAB / EC
CAB / EC
Rapidamente fazanálise de
impacto e a urgência
Testadorindependente
Testes urgentes
Gerente de Mudança
Coordenar a implementação da
mudança
Gerente de Mudança
Garantir que osregistros estão
atualizados
Gerente de Mudança
Rever a mudança
Fecha
Construção Mudança
Construir a mudança, plano de Backout& plano de testes
ITILITIL Melhores Práticas para Gerenciamento de Serviços de TIMelhores Práticas para Gerenciamento de Serviços de TI
95
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
Relacionamentos
Gestão de Configuração
FimFim
RequisiRequisiççãoão dedeMudanMudanççaa
AvaliaAvaliaççãoão((assessassess))
AprovaAprovaççãoãoMudanMudanççaa
ImplementaImplementaççãoão
RPIRPI--RevisãoRevisão de de PPóóss--ImplementaImplementaçção*ão*
FechaFechaMudanMudanççaa
PartesPartes impactadasimpactadas
BaselineBaseline, , LiberaLiberaççãoãoLiberaLiberaççãoão (Release)(Release) & & distribuidistribuiççãoão
ChecarChecar todostodosregistrosregistros
AtualizadosAtualizados
Gestão de Mudança Gestão de Liberação (Release)RelatRelatóóriosrios & & auditauditóóriaria
ConfiguraConfiguraççãoão
AtualizaAtualizaççãoão
* PIR - Post-Implementation Review
C M
D B
C M
D B
ITILITIL Melhores Práticas para Gerenciamento de Serviços de TIMelhores Práticas para Gerenciamento de Serviços de TI
96
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
Indicadores
ITILITIL Melhores Práticas para Gerenciamento de Serviços de TIMelhores Práticas para Gerenciamento de Serviços de TI
97
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
Benefícios
ITILITIL Melhores Práticas para Gerenciamento de Serviços de TIMelhores Práticas para Gerenciamento de Serviços de TI
98
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
Liberação, distribuição de uma Requisição de Mudança autorizada/aprovada.
ITILITIL Melhores Práticas para Gerenciamento de Serviços de TIMelhores Práticas para Gerenciamento de Serviços de TI
Gestão de Liberação (Release Management)
99
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
Gestão de Liberação (Release Management)
ITILITIL Melhores Práticas para Gerenciamento de Serviços de TIMelhores Práticas para Gerenciamento de Serviços de TI
100
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
ITILITIL Melhores Práticas para Gerenciamento de Serviços de TIMelhores Práticas para Gerenciamento de Serviços de TI
101
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
ITILITIL Melhores Práticas para Gerenciamento de Serviços de TIMelhores Práticas para Gerenciamento de Serviços de TI
102
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
Terminologia
ITILITIL Melhores Práticas para Gerenciamento de Serviços de TIMelhores Práticas para Gerenciamento de Serviços de TI
103
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
Requisição de Mudança Aprovada Roll-out
Change Management Change Management Release ManagementRelease Management
ITILITIL Melhores Práticas para Gerenciamento de Serviços de TIMelhores Práticas para Gerenciamento de Serviços de TI
104
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
DistribuiDistribuiççãoão
Base paraBase paraLiberaLiberaççõesões
LigaLigaççãoãocom ocom oCMDBCMDB
ProteProteçção (ão (BKPBKP) ) das Versões das Versões autorizadasautorizadas
DepDepóósitossitosFFíísicossicos
Armazenamento Armazenamento LLóógicogico
DSLDSL
DSL – Definitive Software Library (Biblioteca de Software Definitiva)
ITILITIL Melhores Práticas para Gerenciamento de Serviços de TIMelhores Práticas para Gerenciamento de Serviços de TI
105
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
Detalhes de Detalhes de construconstruçção e ão e componentescomponentes
EspecificaEspecificaççõesões
ÁÁrea segurarea seguraPara hardwarePara hardware
ICICsobressalentes sobressalentes
((sparesspares))
DHSDHS
DHS - Definitive Hardware Store (Depósito de Hardware Definitivo)
ITILITIL Melhores Práticas para Gerenciamento de Serviços de TIMelhores Práticas para Gerenciamento de Serviços de TI
106
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
Plano dePlano de backback--outout
PapPapééis e is e responsabilidaderesponsabilidade
Tipo de LiberaTipo de Liberaççãoão((ReleaseRelease))(ex: Delta)(ex: Delta)
LiberaLiberaçção ão ((ReleaseRelease) )
dedeEmergênciaEmergência
FreqFreqüüência da ência da LiberaLiberaçção ão ((ReleaseRelease))
No. da versão e No. da versão e LiberaLiberaçção ão ((ReleaseRelease))
PolPolíítica de tica de LiberaLiberaççõesões((ReleasesReleases))
Política de Liberações (Releases)
ITILITIL Melhores Práticas para Gerenciamento de Serviços de TIMelhores Práticas para Gerenciamento de Serviços de TI
107
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
Atividades:
Configuration Management Database (CMDB)e
Definitive Software Library (DSL)
AmbienteAmbiente ControladoControladode de testeteste
AmbienteAmbiente de de ProduProduççãoão
RELEASE MANAGEMENT
AmbienteAmbienteDesenvolvimentoDesenvolvimento
PolíticaRelease
Planeja-mento
Release
Desenvol-vimentointerno
oucomprasoftware
Constru-ção /
configura-ção
release
Testes AceiteRelease
Roll-out plano
Comunicação & treinamento
Distribuição&
instalação
ITILITIL Melhores Práticas para Gerenciamento de Serviços de TIMelhores Práticas para Gerenciamento de Serviços de TI
108
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
Ambiente de Desenvolvimento
V 1.1a
Ambiente de Desenvolvimento
V 1.1a
Gerenciamento da Construção
V 1.1 d
Gerenciamento da Construção
V 1.1 d
Ambiente de TesteAmbiente de Teste
Ambiente de ProduçãoAmbiente de Produção
V 1.0V 1.0
V 1.1V 1.1
RFC
Autorizada?
Construir e
Testar o
Software
Liberação de
Teste
Liberação de
Teste
Autorizada?
ImplantarImplantar
RegistroRelease
DSLDSL
Flux
oFl
uxo
CM
DB
CM
DB
Am
bien
tes
Am
bien
tes
. V 1.0 operacional na DSL.
. Construção autorizada.
. V 1.1a (baseada na V 1.0)
. Não confiável em desenvolvimento.
. V 1.0 operacional na DSL.
. Construção autorizada.
. V 1.1a (baseada na V 1.0)
. Não confiável em desenvolvimento.
. V 1.0 operacional na DSL.
. V 1.1d não confiável em teste.. V 1.0 operacional na DSL.. V 1.1d não confiável em teste.
. V 1.0 operacional na DSL.
. Liberada através da DSL para teste da liberação (release)
. V 1.0 operacional na DSL.
. Liberada através da DSL para teste da liberação (release)
. V 1.0 operacional na DSL (atualização agendada).
. V 1.1 Confiável construída na DSL
. V 1.0 operacional na DSL (atualização agendada).
. V 1.1 Confiável construída na DSL
. Autorização para Liberação (Release).. V 1.1 operacional e também na DSL . V 1.0 arquivada na DSL
. Autorização para Liberação (Release).. V 1.1 operacional e também na DSL . V 1.0 arquivada na DSL
Processo de Liberação (Release) e Distribuição
ITILITIL Melhores Práticas para Gerenciamento de Serviços de TIMelhores Práticas para Gerenciamento de Serviços de TI
109
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
IndicadoresITILITIL Melhores Práticas para Gerenciamento de Serviços de TIMelhores Práticas para Gerenciamento de Serviços de TI
110
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
BenefíciosITILITIL Melhores Práticas para Gerenciamento de Serviços de TIMelhores Práticas para Gerenciamento de Serviços de TI
111
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
PMBokPMBok Gestão de ProjetosGestão de Projetos
Gestão de Projetos:PMBOK - A Guide to Project Management Body of Knowledge, publicado pela PMI - Project Management Institute (SEI) .O PMBok é guia das melhores práticas e o conhecimento e da área de gerência de projetos.
O que é um projeto ?“Um projeto é um esforço temporário empreendido para criar um produto, serviço ou resultado exclusivo”.
O que é gerenciamento de projeto ?A aplicação de conhecimento, habilidades, ferramentas e técnicas às atividades do projeto a fim de atender aos requisitos. O gerenciamento de projetos é realizado através da aplicação e da integração dos seguintes processos de gerenciamento: iniciação, planejamento, execução, monitoramento, controle e encerramento.
Encerramento
ExecuçãoControle
Iniciação Planejamento
Grupo de Processos
112
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
PMBokPMBok Gestão de ProjetosGestão de Projetos
Grupo de Processos da Gestão de Projetos:
O processo de encerramento é a conclusão formal do projeto. Esse processo está ligado à determinação pelas partes interessadas de que o projeto cumpriu suas obrigações como definido na declaração de escopo.
Encerramento
Esse grupo envolve gerenciamento de escopo e utilização de processos para manter o projeto alinhado com os objetivos originais. Esse processo abrangem vários acompanhamentos para garantir-se de que tudo esteja dentro das restrições definidas no inicio do projeto e no documento de autorização (Project Charter).
Controle
Esse processo é junção do planejamento e aprimoramento do escopo, objetivos e entregaveis(deliverables) aparecem durante a implementação desse processo.
Execução
A definição de objetivos e seleção das melhores opções se encaixam nessa categoria. Esses processos são demorados mas não muito significativos para o sucesso do projeto
Planejamento
São os processos que autorizam o projeto ou diversas fases dele.Iniciação
DescriçãoGrupo de Processo
O Ciclo de Vida do Projeto:Na prática, as fases constituem um conjunto dinâmico de processos que podem se sobrepor
113
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
PMBokPMBok Gestão de ProjetosGestão de Projetos
Áreas de Conhecimento Gestão de Projetos:
Essa área se concentra no planejamento de aquisições, planejamento de solicitações, solicitação, seleção de fonte, administração de contrato e liquidação.
Gerenciamento de aquisição do projeto
Essa área descreve planejamento do gerenciamento de risco, identificação, análise qualitativa do risco, planejamento de resposta, monitoração e controle.
Gerenciamento de risco do projeto
Essa área envolve o planejamento de comunicações, distribuição de informações, relatórios de desempenho e conclusão administrativa
Gerenciamento de comunicação do projeto
Essa área relaciona-se com o planejamento empresarial, obtenção pessoal e desenvolvimento de equipe
Gerenciamento de recursos humanos do projeto
Essa área envolve o planejamento, do projeto garantia e controle de qualidade.Gerenciamento de qualidade
Essa área incorpora o planejamento, estimativa de custos, orçamento e controle de qualidade.
Gerenciamento dos custos do projeto
Essa área abrange a definição, prosseguimento, estimativa de duração, desenvolvimento de cronograma e controle de atividades.Importante lembrar que tempo é elemento essencial ao projeto e ao seu sucesso.
Gerenciamento de tempo do projeto
Essa área é composta pelo iniciação, planejamento do escopo, definição, verificação e controle de alterações do projeto. A iniciação é onde começa o projeto com o esboço do que se deseja executar e os processos que serão necessários para fazer qualquer alterações no escopo.
Gerenciamento do escopo do projeto
Essa área inclui desenvolvimento, execução e controle de alterações integrado do plano.Isso envolve informações para desenvolver o plano e os processos para mantê-lo sob controle.
Gerenciamento integrado de projeto
DescriçãoÁrea de Conhecimento
114
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
Gestão dos Riscos
PMBokPMBok Gestão de ProjetosGestão de Projetos
115
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
Riscos por Área de Conhecimento:
EscopoEscopo CustoCustoTempoTempoQualidadeQualidade
IntegraIntegraççãoãoComunicaComunicaççãoãoRHRHAquisiAquisiççõesões
ProblemaProblemaRiscoRisco
PMBokPMBok Gestão de ProjetosGestão de Projetos
116
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
PMBokPMBok Gestão de ProjetosGestão de Projetos
Riscos por Área de Conhecimento:
117
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
Análise quantitativa de riscos e técnicas de modelagem
As técnicas comumente usadas na análise quantitativa de riscos incluem:
Análise do valor monetário esperado:A análise do Valor Monetário Esperado (VME) é um conceito estatconceito estatíístico que calcula o resultado stico que calcula o resultado mméédio quando o futuro inclui cendio quando o futuro inclui cenáários que podem ou não acontecerrios que podem ou não acontecer (por exemplo, a análise em condições de incerteza). A VME das oportunidades será normalmente expressa em valores positivos, enquanto a dos riscos será expressa em valores negativos.
A VME é calculada multiplicando o valor de cada resultado possível por sua probabilidade de ocorrência e adicionando os dois. Uma utilização comum deste tipo de análise está na análise da árvore de decisão. É recomendável usar modelagem e simulação para a análise de risco de custo e cronograma, pois são mais poderosas e menos sujeitas a uso inadequado que a análise do valor monetário esperado.
Análise da árvore de decisão:Em geral, a análise da árvore de decisão é estruturada usando um diagrama da diagrama da áárvore de decisãorvore de decisãoque descreve uma situação que está sendo considerada e as implicações de cada uma das escolhas disponíveis e cenários possíveis. Ela incorpora o custo de cada escolha disponível, as probabilidades de cada cenário possível e o retorno de cada caminho lógico alternativo. A resolução da árvore de decisão fornece a VME (ou outra medida de interesse da organização) para cada alternativa, quando todas as premiações e decisões subseqüentes estiverem quantificadas.
Gestão de RiscoPMBokPMBok Gestão de ProjetosGestão de Projetos
118
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
Gestão dos Riscos - Análise da árvore de decisão e VME
PMBokPMBok Gestão de ProjetosGestão de Projetos
119
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
Gestão de Segurança da InformaçãoGestão de Segurança da Informação
Informação (contexto 17799):
"A informação é um bem que, como outros, importantes bens de negóciio, tem valor para a organização e conseqüentemente necessita de ser sustentavelmente protegida"
"A informação pode existir em diversas formas. Pode ser impressa ou escrita em papel, guardada eletronicamente, transmitida por correio eletrônico,mostrada em filme ou transmitida em conversas"
"Qualquer que senha a forma que a informação possua, o meio na qual épartilhada ou guardada, deverá sempre ser apropriadamente protegida"
A importância da informação:> Bancos (valor patrimonial de clientes)> Estado (defesa nacional)> Produtos/Serviços (segredos)> Saúde (registro médicos - prontuário eletrônico)> Modelo Financeiros (estratégia de negócios)> Negócios na Bolsa de Valores (Vazamento de Informação)...
ISO 17799ISO 17799
120
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
Gestão de Segurança da InformaçãoGestão de Segurança da Informação
Principais Componentes:
Disponibilidade – Acesso contínuo e ininterrupto. A informação deve estar disponível para a pessoa certa e no momento em que ela precisar.
Integridade – Proteger a informação contra qualquer tipo de alteração sem a autorização explícita do autor da mesma
Confidencialidade – Visa manter o sigilo, o segredo ou a privacidade das informações, evitando que pessoas, entidades ou programas não autorizados tenham acesso às mesmas.
Autenticidade - garante ao receptor da informação a origem informada. Assegura que o acesso àinformação não possa ser realizado por terceiros em nome do receptor ou que se utilizem do nome do originador para enviar informações.
Objetivos:• Reduzir a probabilidade de ocorrência de incidentes.• Minimizar os danos / perdas causados à Organização.• Recuperação dos danos em caso de incidente.
ISO 17799ISO 17799
121
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
Gestão de Segurança da InformaçãoGestão de Segurança da Informação
Atitude de Segurança
ReativaResposta a incidentes;Investigações;Aplicação de sanções.
PreventivaPlanejamento;Normalização;Infra-estrutura segura;Educação e Treinamento;Auditoria.
ISO 17799ISO 17799
122
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
ISO 17999ISO 17999 Gestão de Segurança da InformaçãoGestão de Segurança da Informação
Medidas de Segurança:
• Política de Segurança;• Política de utilização da Internet e
Correio Eletrônico;• Política de instalação e utilização de
softwares;• Plano de Classificação das
Informações;• Auditoria;• Análise de Riscos;• Análise de Vulnerabilidades;• Análise da Política de Backup /
Restore;• Plano de Ação Operacional;• Plano de Contingência;• Capacitação Técnica;• Processo de Conscientização dos
Usuários.
• Política de Segurança;• Política de utilização da Internet e
Correio Eletrônico;• Política de instalação e utilização de
softwares;• Plano de Classificação das
Informações;• Auditoria;• Análise de Riscos;• Análise de Vulnerabilidades;• Análise da Política de Backup /
Restore;• Plano de Ação Operacional;• Plano de Contingência;• Capacitação Técnica;• Processo de Conscientização dos
Usuários.
• Backups;• Antivírus;• Firewall;• Detecção de Intruso (IDS);• Servidor Proxy;• Filtros de Conteúdo;• Sistema de Backup;• Monitoração;• Sistema de Controle de Acesso;• Criptografia Forte;• Certificação Digital;• Teste de Invasão;• Segurança do acesso físico aos locais críticos
• Backups;• Antivírus;• Firewall;• Detecção de Intruso (IDS);• Servidor Proxy;• Filtros de Conteúdo;• Sistema de Backup;• Monitoração;• Sistema de Controle de Acesso;• Criptografia Forte;• Certificação Digital;• Teste de Invasão;• Segurança do acesso físico aos locais críticos
Medidas de Segurança:
123
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
• Em outubro de 1967 foi criado um documento chamado “SecurityControl for Computer System” que marcou o passo inicial para criação de conjunto de regras para segurança de computadores.
• DoD também não ficou fora disto e teve grande participação na elaboração de regras.
• Em 1978 foi escrito “Orange Book”, conhecido também como “Trusted Computer Evaluation Criteria” por DoD. A versão final deste documento foi impresso em dezembro de 1985.
• O “Orange Book” é considerado como marco inicial de um processo mundial de busca de medidas que permitem a um ambiente computacional ser qualificado como seguro.
• O "Orange Book" permite especificar o que deve ser implementado e fornecido por um software, para que ele seja classificado em um dos níveis de "segurança" pré-estipulados.
Surgimento de Normas:
ISO 17799ISO 17799 Gestão de Segurança da InformaçãoGestão de Segurança da Informação
124
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
Modelo de Implementação:
ISO 17799ISO 17799 Gestão de Segurança da InformaçãoGestão de Segurança da Informação
Definirescopo
Revisão Documentação
GapAnalyses
Inventáriode Ativos
Avaliação deRisco
Gestão deRiscoObjetivo de
Controle
DesenvolverPolítica
DesenvolverProcedimento
Treinamento
MonitorarCompliance
Compliance eCertificação
Implantação daISO 17799
125
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
Surgimento de Normas:
ISO 17799ISO 17799 Gestão de Segurança da InformaçãoGestão de Segurança da Informação
Este esforço foi liderado pela "International Organization for Standardization (ISO). No final do ano de 2000, o primeiro resultado desse esforço foi apresentado, que é a norma internacional de Segurança da Informação "ISO/IEC-17799:2000", a qual já possui uma versão aplicada aos países de língua portuguesa, denominada "NBR ISO/IEC-17799“ .
NBR/ISO IEC 17799A ISO 17799 é um conjunto de recomendações para Gestão da Segurança da Informação; Providencia uma base comum para o desenvolvimento de normas de segurança organizacional e das práticas efetivas de gestão da segurança;Leva em consideração tecnologia, processos e pessoas. Esta norma é publicada no Brasil pela ABNT com o código NBR ISO 17799.
Histórico:A Associação Britânica de Normas tinha 2 normas referentes à segurança de sistemas de informação: a BS 7799-1 e a BS 7799-2.A BS 7799-1 foi submetida ao ISO e aprovada (com problemas), vindo a ser a ISO 17799.
126
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
• 1. Objetivo da norma• 2. Termos e definições• 3. Política de segurança• 4. Segurança organizacional• 5. Classificação e controle dos ativos
de informação• 6. Segurança de pessoas
• 7. Segurança física e do ambiente• 8. Gerenciamento de operações e
comunicações• 9. Controle de acesso• 10. Desenvolvimento de sistemas.• 11. Gestão de continuidade de negócios• 12. Conformidade
ISO 17799ISO 17799 Gestão de Segurança da InformaçãoGestão de Segurança da Informação
Infra estrutura de segurança: indica que uma estrutura organizacional deve ser criada para iniciar e implementar as medidas de segurança.
Segurança no acesso de prestadores de serviço: garantir a segurança dos ativos acessados por prestadores de serviços.
Segurança envolvendo serviços terceirizados: deve-se incluir nos contratos de terceirização de serviços computacionais cláusulas para segurança
ISO 17799 – Segurança Organizacional
Componentes do ISO 17799
127
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
• Segurança na definição e Recursos de Trabalho: Devem ser incluídas as preocupações de segurança no momento da contratação de pessoas. Verificar os critérios de segurança no processo de seleção. Funcionários devem assinar o acordo de confidencialidade.
• Treinamento dos usuários: educação, conscientização e treinamento referentes a segurança.
• Mecanismos de Incidente de Segurança: Deve existir mecanismos para funcionários poderem reportar possíveis falhas.
• Processo disciplinar formal: Deve haver um processo disciplinar formal para funcionários que violaram os procedimentos de segurança.
ISO 17799 – Segurança de Pessoas
ISO 17799ISO 17799 Gestão de Segurança da InformaçãoGestão de Segurança da Informação
• Áreas de segurança: prevenir acesso não autorizado, dano e interferência nas instalações físicas. Isso inclui: definir um perímetro de segurança, controles de entrada física, etc
•• Segurança de equipamento: convém proteger equipamentos fisicamente de ameaças e perigos
ambientais. Isso inclui roubo, fogo, e outros perigos ambientais, proteção contra falta de energia, segurança do cabeamento, definição de política de manutenção, proteção a equipamentos fora das instalações.
• Controles gerais: Por exemplo proteção de tela com senha para evitar que informação fique visível em tela, deve-se ter uma política quanto a deixar papéis na impressora por muito tempo, etc.
ISO 17799 – Segurança de Física e de Ambiente
128
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
• Áreas de segurança: prevenir acesso não autorizado, dano e interferência nas instalações físicas. Isso inclui: definir um perímetro de segurança, controles de entrada física, etc
•Segurança de equipamento: convém proteger equipamentos fisicamente de ameaças e perigos ambientais. Isso inclui roubo, fogo, e outros perigos ambientais, proteção contra falta de energia, segurança do cabeamento, definição de política de manutenção, proteção a equipamentos fora das instalações.
• Controles gerais: Por exemplo proteção de tela com senha para evitar que informação fique visível em tela, deve-se ter uma política quanto a deixar papéis na impressora por muito tempo, etc.
ISO 17799 – Controle de Acesso
ISO 17799ISO 17799 Gestão de Segurança da InformaçãoGestão de Segurança da Informação
Gerenciamento de acesso dos usuários:• Registro do usuário: ID única para cada usuário, pedir assinatura em termo de responsabilidade,
remover usuário assim que o funcionário sair da empresa .• Gerenciamento de privilégios: Basicamente, se recomenda que usuários
tenham apenas os privilégios necessários para fazer seu trabalho.• Gerenciamento de senhas: termo de responsabilidade deve afirmar que
senha é secreta e não deve ser divulgada, senhas temporárias devem funcionar apenas uma vez.
• Análise crítica dos direitos de acesso do usuário: deve-se analisar os direitos de acesso dos usuários com freqüência de 6 meses ou menos.
129
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
• Responsabilidades dos usuários:– Senhas: segundo norma, usuário deve zelar pela sua senha e criar uma senha considerada
aceitável (mínimo de 6 caracteres).– Equipamentos sem monitoração: Usuários deve tomar os cuidados necessários ao deixar um
equipamento sem monitoramento, com seções abertas.
ISO 17799 – Controle de Acesso
ISO 17799ISO 17799 Gestão de Segurança da InformaçãoGestão de Segurança da Informação
• Controle de Acesso ao SO: – Controle de acesso ao sistema operacional: Identificação automática de terminal: nos
casos onde deve-se conhecer onde um usuário efetua logon.
– Procedimentos de entrada no sistema (log-on). Sugestões como: limitar o número de tentativas erradas para o log-on e não fornecer ajuda no processo de log-on, entre outros.
– Identificação de usuários: a não ser em casos excepcionais cada usuário deve ter apenas um ID. Considerar outras tecnologias de identificação e autenticação: smart cards, autenticação biométrica.
– Sistema de Gerenciamento de Senhas: Contém os atributos desejáveis para sistema que lê, armazena e verifica senhas.
ISO 17799 – Controle de Acesso
130
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
• Controle de Acesso às aplicações:– Registro de Eventos: Trilha de auditoria registrando exceções e outros eventos
de segurança devem ser armazenados por um tempo adequado.– Monitoração do Uso do Sistema: Os procedimentos do monitoração do uso do
sistema devem ser estabelecidos. Uma análise crítica dos logs deve ser feita de forma periódica.
– Sincronização dos Relógios: Para garantir a exatidão dos registros de auditoria.
ISO 17799 – Controle de Acesso às Aplicações
ISO 17799ISO 17799 Gestão de Segurança da InformaçãoGestão de Segurança da Informação
Deve-se desenvolver planos de contingência para caso de falhas de segurança, desastres, perda de serviço, etc.
Estes planos devem ser documentados, e o pessoal envolvido treinado. Os planos de contingência devem ser testados regularmente, pois tais planos quando concebidos teoricamente, podem apresentar falhas devido a pressupostos incorretos, omissões ou mudança de equipamento ou pessoal.
ISO 17799 – Continuidade de Negócio
131
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
ISO 17799ISO 17799 Gestão de Segurança da InformaçãoGestão de Segurança da Informação
ISO 17799 – Componentes do Plano de Continuidade de Negócio
• Condições para a ativação do plano;• Procedimentos de emergência a serem tomados;• Procedimentos de recuperação para transferir atividades essenciais para
outras localidades, equipamentos, programas, entre outros;• Procedimentos de recuperação quando do estabelecimento das
operações;• Programação de manutenção que especifique quando e como o plano
deverá ser testado;• Desenvolvimento de atividades de treinamento e conscientização do
pessoal envolvido;• Atribuição de responsabilidades.
ISO 17799 – Conformidade• Conformidade com Requisitos Legais: Para evitar a violação de qualquer lei,
estatuto, regulamentação ou obrigações contratuais. Evitar a violação de Direitos Autorais dos aplicativos.
• Análise Crítica da Política de Segurança e da Conformidade Técnica.• Considerações referentes Auditoria de Sistemas.
132
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
ISO 27001ISO 27001 Gestão de Segurança da InformaçãoGestão de Segurança da Informação
Este conjunto de normas ISO/IEC são o mais importante referencial de Segurança da Informação. Estas normas substituíram a normas BS 7799-2 (referente à Gestão de Segurança da informação) e ISO 17799 Código de Boas Práticas da Gestão de Segurança da Informação). No Brasil, algumas empresas jáconseguiram obter o certificado ISO27001: Serasa, Banco Matone, Samarco, Módulo Security, Unisys, Prodespe SERPRO.Como resultado destas novas normas, a listagem das normas ISO de Segurança da Informação será a seguinte:
ISO 27000 - Vocabulário de Gestão da Segurança da Informação (sem data de publicação).
ISO 27001 - Esta norma foi publicada em Outubro de 2005 e substituiu a norma BS 7799-2 para Certificação de sistema de gestão de segurança da informação.
ISO 27002 - Este standard irá substituir em 2006/2007 o ISO 17799:2005 (Código de Boas Práticas).
ISO 27003 - Este novo standard abordará a gestão de risco, contendo recomendações para a definição e implementação de um sistema de gestão de segurança da informação. Deverá ser publicada em 2006.
ISO 27004 - Incidirá sobre os mecanismos de mediação e de relatório de um sistema de gestão de segurança da informação. A sua publicação deverá ocorrer em 2007.
ISO 27005 - Será constituída por indicações para implementação, monitorização e melhoria contínua do sistema de controles. O seu conteúdo deverá ser idêntico ao da norma BS 7799-3:2005 – “Information SecurityManagement Systems - Guidelines for Information Security Risk Management”, a publicar em finais de 2005. A publicada da norma como ISO está prevista para meados de 2007.
ISO 27006 - Dentro da série 27000 a última norma será referente à recuperação e continuidade de negócio. Este documento tem o título provisório de “Guidelines for information and communications technology disasterrecovery services”, não estando calendarizado a sua edição.
133
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
ISO 27001ISO 27001 Gestão de Segurança da InformaçãoGestão de Segurança da Informação
As mudanças mais relevantes na migração para norma ISO/IEC 27001 ocorreram na estrutura do SGSI (sistema de gestão de segurança da informação), quando são destacados aspectos de auditoria interna e indicadores de desempenho do sistema de gestão de segurança e no Anexo A que passou a ter na ISO/IEC 27001 11 seções, pois foi incluída a seção Gestão de Incidentes de Segurança da Informação:
¨5.Política de Segurança da Informação¨6. Organizando a Segurança da Informação¨7. Gestão de Ativos¨8. Segurança em Recursos Humanos¨9. Segurança Física e do Ambiente¨10. Gerenciamento das Operações e Comunicações¨11. Controle de Acessos¨12. Aquisição, Desenvolvimento e Manutenção deSistemas de Informação¨13. Gestão de Incidentes de Segurança da Informação¨14. Gestão da Continuidade do Negócio¨15. Conformidade
De acordo com órgãos certificadores será concedido um tempo para as empresas certificadas em BS7799-2:2002 se adequarem a nova norma ISO/IEC 27001. A média é de 1 ano e meio, então todas as empresa certificadas, se quiserem manter o seu certificado, deverão se revisar seus sistemas e passar por uma auditoria de recertificação migrando para a norma ISO/IEC 27001. A tendência natural é que as empresas passem a buscar a nova norma e aumente o número de certificações no mundo, devido a maior aceitação do padrão ISO com referência universal.
134
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
Objetivo desta parte:É apresentar a declaração SAS 70SAS70SAS70
135
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
Para estarem compliance (conformidade) com os requisitos da SOX, as empresas tem que garantir que os serviços de terceiros sejam desenvolvidos em um ambiente controlado cujo risco é gerido de forma continuamente.
SAS 70, Statement on Audit Standard, Declaração Padrão de Auditoria
SAS70SAS70 Statement on Audit Standard 70Statement on Audit Standard 70
É uma norma editada pelo American Institute of Certified Public Accountants para a auditoria de Service OrganizationsEla fornece um guia para auditores envolvidos no processo de auditoria dos controles da empresa de serviço que podem ser parte do sistema de informação da empresa auditada, no contexto de uma auditoria de resultados e relatórios financeiros
Fornecedor A
Fornecedor B
Empresa
136
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
5 Controle Internos:- Definição- Compliance com regulamentação- Controle Eficientes- Auditoria Interna
137
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
Definição de Controle:Políticas, procedimentos, atividades e mecanismos, desenvolvidos para assegurar que os objetivos de negócios sejam atingidos e que eventos indesejáveis sejam prevenidos ou detectados e corrigidos.
Controle InternoO Que os Executivos Deveriam Questionar?
• Quais as melhores práticas de controle e gestão de riscos? Existem sistemas de controle e gestão que indiquem eventuais falhas de controle (exemplos: fraudes, irregularidades, má-conduta...)?
• Nossos processos e controles para divulgação nos asseguram que todas as informações relevantes foram identificadas, quantificadas e reportadas?
• Nossa estrutura de Governança Corporativa está compatível às necessidades?– Código de Ética (Código de Conduta);– Conselho de Administração; – Comitê de Auditoria; – Comitê Fiscal; e– Parâmetros de razoabilidade para bônus e lucros.
138
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
Controle Interno. Abordagem:
Controles: PREVENTIVO - Previnem o acontecimento de erros, fraudes, má-conduta ou irregularidades e minimizam os riscos na fonte. (Pró-ativo). (Maior eficácia)
DETECTIVO - Detectam erros, fraudes, má-conduta e irregularidades quando eles ocorrem, geralmente são difíceis de definir ou prever. (Reativo).
RESPOSTA - Controles elaborados para tomar ação corretiva e remediar os danoscausados por erros, fraudes, má-conduta e irregularidades. (Reativo)
Tipos de Controles:AUTOMATIZADO - Controles executados por sistemas automatizados, não dependendo de julgamentos pessoais. Para garantir sua consistência, precisão e tempestividade, é precisoter um sistema seguro e confiável. (Maior eficácia)
MANUAL - Controles manuais executados por pessoas.
Periodicidade:COM PERIODICIDADE DIVERSIFICADA (a cada evento, diário, semanal, quinzenal, mensal, trimestral, semestral, anual…). (a periodicidade do controle deve ser compatível com a frequência do incidência dos eventos de risco cobertos pelo controle).
Abordagem: Prevenção, Detecção e Resposta
Uma abordagem efetiva, direcionada à fraude em negócios e gerenciamento derisco e má-conduta, é uma abordagem que é focada em três objetivos: Prevenção, Detecção e Reposta
139
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
Controle InternoBenefícios de uma Estrutura de Controles Internos Consistente:
Controle Interno Consistente:Reduz potencial para fraudesConquista (ou reconquista) a confiança dos investidores Observa leis e regulamentaçõesReduz o risco de perda de recursosOtimiza decisões de negócio com maior qualidadeIdentifica operações ineficientesMinimiza denúncias
Controle Interno Inconsistente:Aumenta a exposição a fraudesInformações financeiras imprecisasPublicidade desfavorávelImpacto negativo nos valores das açõesSanções de órgãos de controleProcessos ou outras ações legaisPerda de ativosDecisões de negócio sub-otimizadas
140
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
Controle Interno. Auditoria InternaO Papel da Auditoria Interna:
O papel da auditoria interna é um elemento chave em atividades de controle, suportando a abordagem da administração para prevenir, detectar e responder àfraude, erros, irregularidades e má-conduta.
Um das funções da Auditoria Interna é o de examinar a efetividade dos controles (realização de testes substantivos), Gestão de Risco, Sistemas, Salvaguarda de Ativos, Contabilidade e Governança.
No geral, a auditoria interna deve ser responsável por:- Planejar e conduzir a avaliação do desenho e efetividade dos controles;
- Ajudar a organização na avaliação das fraquezas dos controle e ajudar a encontrar conclusões quanto a estratégias apropriadas para mitigar estes riscos;
- Comunicar o comitê de auditoria sobre a avaliação dos controles internos e das auditorias, investigações e atividades relacionadas.
141
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
A SOX, tem duas seções sobre certificação: 302 e 906.
A seção 302 determina um conjunto de procedimentos internos desenhados para garantir a evidenciação financeira.
A seção 906 exige uma certificação pelo Presidente (CEO) e Diretor Financeiro (CFO) acompanhe cada relatório periódico que inclui as demonstrações financeiras
> A SEC adotou a regra exigindo que a certificação seja fornecida como parte de cada relatório anual e trimestral as correspondentes alterações.
> O Presidente e Diretor Financeiro deverão certificar que avaliaram a eficácia dos controles internos e dos procedimentos de divulgação da empresa dentro de 90 dias da data do relatório.
> As regras exigem que a certificação seja incluída em relatórios anuis nos formulários: 10-K, 10-KSB, 20-F e 40-F, relatórios trimestrais nos formulários: 10-Q e 10-QSB e alterações em quaisquer dos relatórios acima mencionados.
Controle Interno. SOX:
142
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
A seção 404, exige que administração da empresa produza o Internal Control ReportFinancial (ICRF) como parte do informe anual.O informe deve afirmar a responsabilidade da administração em estabelecer e manterprocedimentos e uma estrutura adequada de controle interno para o informe financeiro.
O informe ainda precisa conter uma avaliação, na data do final do ano fiscal mais recente da empresa, da efetividade dos procedimentos e da estrutura de controle interno do emitente do informe financeiro
A firma de auditoria, auditoria externa, precisa atestar a avaliação de controle interno da administração.
A recomendação da SEC, é utilizar o COSO como guia para implementar o Sistema de Controle Interno (SCI)
Controle Interno. SOX:
143
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
Controle Interno. SOX:Lições Aprendidas:
Questão:
Para quais dos itens abaixo há o maior risco de serem reportadas éesperado o maior volume de fraquezas materiaisnos controles internos?a) Tecnologia da Informaçãob) Reconhecimento de receitac) Gerenciamento do Imobilizadod) Compras e contas a pagare) Impostosf) Recursos Humanosg) Tesourariah) Encerramento e apresentação das demonstrações financeirasi) Outros
Fraquezas Materiais nos Controles Internos
65; 65%4; 4%
7; 7%
4; 4%
2; 2%
7; 7%
4; 4%
7; 7%0; 0%
a) Tecnologia daInformação
b) Reconhecimento dereceitac) Gerenciamento doImobilizadod) Compras e contas apagare) Impostos
f) Recursos Humanos
g) Tesouraria
h) Encerramento eapresentação dasdemonstraçõesfinanceirasi) Outros
Fonte: Síntese e Resultado da 9ª mesa de debates - Sox Update e Avaliação do Ambiente de Controle (COSO) KPMG – 2006/2007
Nota:Para 65%, há uma percepção de que a tecnologia da informação é a que poderá gerar um maior volume de fraquezas materiais. Os demais itens estiveram restritos a uma faixa de 2% a 7%. A título de comparação, pesquisa similar realizada em 2005 teve como resultado uma votação de 57% para TI, o que indica que esta preocupação não é recente e se manteve no mesmo patamar.
144
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
Estudo de Caso: Melhores Práticas de Governança Corporativa
145
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
Fonte: http://amanha.terra.com.br/edicoes/229/capa03.asp
Aracruz, que produz 3 milhões de toneladas de celulose por ano, intensificou sua política de prevenção de acidentes com a estruturação da Gestão de Riscos Corporativos (GRC).
Com 279 mil hectares de plantio de eucalipto no Espírito Santo, Bahia, Minas Gerais e Rio Grande do Sul, o programa de gestão de risco da companhia se baseia nos conceitos de ERM. “É um trabalho de fôlego, mas dá resultados: introduz cultura de gestão de risco, cria metodologia e faz compliance,”assegura Isac Zagury, diretor financeiro.
A Aracruz tem um elenco de riscos classificados como Top 10 e depois mais 30 riscos operacionais que se capilarizam por todas as atividades. Entre os dez riscos de maior impacto estão as questões ambientais e os resultados financeiros. “O passivo ambiental é mais difícil de mensurar porque traz conqüências tangíveis e intangíveis”, observa Zagury. Há, afinal, uma forte correlação entre preservação ambiental e formação de imagem de uma empresa, especialmente quando atua na área florestal.
Estudo de Caso: Melhores Práticas de Governança Corporativa
146
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
A Brasil Telecom (BrT), tem ações negociadas na Bolsa de New York, (NYSE) a partir da lei Sarbanes-Oxley (SOX), a BrT deu início a seu programa de gestão de risco há quatro anos.
Hoje, a companhia tem 2.750 possíveis causas de prejuízos sob diferentes níveis de controle. Diariamente, por exemplo, os gestores da BrT acompanham 220 riscos, que são considerados vitais. Para cada um desses riscos, existem quatro certificações por ano que são apresentadas nos relatórios trimestrais aos acionistas.
Dois desses riscos vitais estão ligados diretamente aos resultados financeiros e foram totalmente automatizados: o setor de faturamento e o de cadastro de clientes.
O sistema de cobrança acompanha todas as chamadas telefônicas feitas pelos usuários e envia automaticamente para a área de cadastro que emite mensalmente as contas. Dar pane em uma dessas áreas é inconcebível. “Imagina, ficar cinco minutos sem faturar”, calcula diretor de governança corporativa.
Estudo de Caso: Melhores Práticas de Governança Corporativa
Fonte: http://amanha.terra.com.br/edicoes/229/capa03.asp
147
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
Apêndice: AS/NZS 4360:2004
Fonte: http://www.modulo.com.br/checkuptool/artigo_14.htm
AS/NZS 4360:2004 Australian Standard for Risk Management
18/01/2006Geraldo Ferreira - Especialista em Segurança da Informação do Módulo Security Lab
Publicada em 1995 e revisada em 1999, a AS/NZS 4360 é uma norma Australiana / Neozelandesa para gerenciamento de riscos que foi elaborada pela Standards Austrália e Standards New Zealandatravés do Comitê de gestão de riscos (OB-007). É uma norma genérica que fornece orientações para gerenciamento de riscos de qualquer natureza.Ao contrário dos padrões de segurança existentes no mercado, que consideram risco como perigo ou impacto negativo para as organizações, a AS/NZS 4360 parte do princípio que a gestão de riscos tem como finalidade o equilíbrio entre as oportunidades de ganhos e a redução de perdas. Considera risco como "a exposição às conseqüências da incerteza ou como potenciais desvios do que foi planejado ou do que é esperado" e sua principal característica é avaliar considerando tanto os riscos com resultados positivos (ganhos potencias) quanto os riscos com resultados negativos (perdas potenciais), fornecendo uma visão única no gerenciamento de riscos.Para a AS/NZS 4360, a gestão de riscos envolve o estabelecimento de uma infra-estrutura e cultura apropriadas e a aplicação de um método lógico e sistemático para estabelecer contextos, bem como para identificar, analisar, avaliar, tratar, monitorar e comunicar os riscos associados a qualquer atividade, função ou processo, de modo a minimizar perdas e maximizar ganhos para as organizações.As principais etapas do processo de gestão de riscos são:Ilustração 1: AS/NZS 4360:2004 - principais etapas
148
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
Apêndice: AS/NZS 4360:2004
Fonte: http://www.modulo.com.br/checkuptool/artigo_14.htm
AS/NZS 4360:2004 Australian Standard for Risk Management
• Comunicação e consulta: comunicar e consultar as partes envolvidas internas e externas, conforme apropriado, em cada etapa do processo de gestão de riscos e em relação ao processo como um todo.• Estabelecimento dos contextos: estabelecer os contextos externo, interno e da gestão de riscos nos quais se desenvolverá o restante do processo. Devem ser estabelecidos os critérios em relação aos quais os riscos serão avaliados e deve ser definida a estrutura da análise.• Identificação de riscos: identificar onde, quando, por que e como os eventos podem impedir, atrapalhar, atrasar ou melhorar a consecução dos objetivos.• Análise de riscos: identificar a avaliar os controles existentes. Determinar as conseqüências e a probabilidade e, por conseguinte, o nível de risco. Tal análise deve considerar as diversas conseqüências potenciais e como elas podem ocorrer.• Avaliação de riscos: comparar os níveis de risco estimados com os critérios estabelecidos previamente e considerar o balanço entre os benefícios potenciais e os resultados adversos. Isso possibilita que sejam tomadas decisões quanto à extensão e à natureza dos tratamentos necessários e quanto às prioridades.• Tratamento de riscos: desenvolver e implementar estratégias e planos de ação específicos e econômicos, para aumentar os benefícios potenciais e reduzir os custos potenciais.• Monitoramento e análise crítica: é necessário monitorar a eficácia de todas as etapas do processo de gestão de riscos. Isso é importante para a melhoria contínua.
149
Ges
tão
de R
isco
em
TI
Versão 2.0 | Rildo F Santos (rildo.santos@companyweb.com.br) 2006 © Direitos Reservados
Apêndice: ABNT ISO/IEC Guia 73
A ABNT ISO/IEC Guia 73 define 29 termos da Gestão de Riscos, que foram agrupados nas seguintes categorias: a) Termos básicos; b) Termos relacionados a pessoas e organizações afetadas pelos riscos; c) Termos relacionados à análise/avaliação de riscos; d) Termos relacionados ao tratamento e controle de riscos.
Entretanto, as definições não foram elaboradas para cada área de aplicação da Gestão de Riscos. Cada uma delas procura ser genérica e a mais abrangente possível. O conteúdo do guia é muito mais que um simples “vocabulário”, pois permite aos usuários ter uma boa idéia do que é a Gestão de Riscos. A expectativa do grupo de trabalho que elaborou o ISO Guide 73 é de que profissionais e especialistas das mais diversas áreas, como, por exemplo, finanças, segurança, saúde, e meio ambiente, consigam se entender falando a mesma linguagem
Recommended