Embed Size (px)
Citation preview
Desafio aos Deuses: A Fascinante História dos Riscos - Peter L. Bernstein
Governança de TI: Tecnologia da Informação
Autores: Peter Weill e Jeanne W. Ross
ISBN: 8589384780
A Estratégia em Ação: Balanced Scorecard
Autores: David Norton e Robert Kaplan
ISBN: 8535201491
Gestão de Riscos Em função das exigências do mercado, governo, agências reguladoras e clientes, conhecer e tratar os riscos
deixou de ser uma necessidade técnica e transformou-se em uma questão estratégica para as organizações.
O Módulo Risk Manager provê metodologia sólida e estruturada, alinhada às principais normas e padrões
internacionais. Através do ciclo de Gestão de Riscos, que inclui as atividades de inventariar, analisar, avaliar e
tratar os riscos, o Módulo Risk Manager facilita e automatiza o processo de gestão de riscos, fornecendo
suporte à tomada de decisões e facilitando o desenvolvimento de estratégias para controlar e minimizar os
riscos a níveis aceitáveis pela organização.
O Módulo Risk Manager fornece também apóio para a avaliação da conformidade com padrões e
regulamentações como SOx, PCI DSS, ISO 27002, ISO 27001, BS 25999, COBIT, Basiléia II e FISAP.
Com o Módulo Risk Manager é possível obter gráficos e relatórios que permitem à organização comparar a
evolução dos indicadores de riscos e estabelecer prioridades para implementação de controles e investimentos.
Como o Módulo Risk Manager pode ajudar sua organização:
Fornecer um framework comum para gestão de riscos e avaliação da conformidade com padrões e
regulamentações
Gerenciar os controles de segurança, fornecendo suporte para múltiplas auditorias, reduzindo custos e
eliminando silos
Obter visão integrada dos ativos ligados aos processos de negócio da organização
Apoiar a tomada de decisões, viabilizando a priorização de ações e investimentos
Manter inventário de ativos
Consolidar informações sobre Análise de Riscos, Compliance e Continuidade de Negócios
Gerar automaticamente relatórios, gráficos e estatísticas
Gerar de Risk ScoreCard, incluindo índices e métricas
Obter visão georreferenciada dos riscos
Mapear a evolução dos riscos
Gerar de indicadores de riscos para governança corporativa
http://www.virtue.com.br/blog/?p=26
Security Meeting 2007 - Sucesu-MG
Uma rápida pesquisa no Google com os termos “Gestão de Riscos” e “Risk Management” e você terá um
universo de mais de 125 milhões de páginas (um pouco mais de 2 milhões com o termo em português e
124 milhões com o termo em inglês) para tentar compreender qual é afinal, o seu conceito. Todo este
vasto material revela uma disciplina que busca sempre o melhor equilíbrio entre riscos e custos e que
vem sendo praticada através de décadas pelas mais variadas organizações. Ironicamente, o termo
“Gestão de Riscos” somente tornou-se comumente utilizado recentemente. Tradicionalmente,
costumamos associá-lo aos riscos relacionados aos ativos financeiros (seguros, créditos, taxas de
câmbio, empréstimos, etc). Atualmente, este enfoque modificou-se. Passou-se a discutir e avaliar também
os riscos operacionais, bastante associados à Tecnologia da Informação.
À medida em que os negócios e até mesmo seus clientes vêem crescer dia após dia sua dependência em
relação à internet e aos sistemas de TI, os riscos de infraestrutura tornam-se mais visíveis e significantes.
Violações ou falhas em sistemas de informação causam sérias crises de negócio - danos à reputação
causados por roubo de identidade, vazamento de informações confidenciais em função de falhas de
sistemas e o surgimento de restrições regulatórias em função da procura por conformidade.
Recentes manchetes em publicações de áreas diversas destacaram com grande ênfase numerosos
problemas relacionados aos riscos tecnológicos: roubos de mídias de backup, processos litigiosos
resultantes da produção e/ou preservação imprópria de registros eletrônicos, roubo de identidade e
quebras de propriedades intelectuais.
Hoje é facilmente perceptível entender porque os quadros executivos das corporações mundiais buscam
incansávelmente respostas para a pergunta: Como mitigar dramáticamente os riscos e melhorar o retorno
sobre os investimentos em sistemas de informação?
Enquanto disciplina, a Gestão de Riscos de TI, é bastante nova. No passado, os riscos associados à TI
estavam limitados a aspectos como segurança e continuidade dos negócios. Hoje, o conceito sobre riscos
de TI evoluiu e tornou-se clara a visão de que os riscos de TI não são unidimensionais. Um completo
programa de gestão de riscos de TI avalia os riscos relativos à segurança e disponibilidade de dados,
disponibilidade integral e performance dos ativos de informação e a conformidade com exigências
regulatórias ou legais.
Ao considerar cada uma das seguintes categorias de riscos de TI, pode-se criar para os negócios uma
estrutura mais completa de combate aos riscos apresentados.
Segurança: São os riscos relativos às ameças internas ou externas que podem resultar em acessos não
autorizados à alguma informação. Incluem-se aqui os riscos relativos ao vazamento de dados,
privacidade de dados e fraudes. Inclui-se aqui também uma ampla gama de ameaças externas como
ataque por vírus, bem como ataques bem objetivos à aplicações, usuários e informações específicas -
ataque a sistemas que as pessoas confiam e utilizam diáriamente.
Disponibilidade: Trata-se do risco de uma informação apresentar-se inacessível devido a interrupções
não planejadas em sistemas. As organizações têm a responsabilidade de manter seus sistemas de
negócio operacionais. Como resultado, elas precisam reduzir os riscos de perda ou corrupção de dados e
de indisponibilidade de aplicações. E, no caso de uma falha, os negócios devem ser recuperados em um
prazo adequado.
Performance: É o risco de uma informação apresentar-se inacessível devido a limitações de
escalabilidade ou gargalos relativos à comunicação de dados. Os negócios precisam garantir os
requerimentos de volume e performance - mesmo durante momentos de pico. Aspectos relativos à
performance devem ser identificados proativamente, antes que os usuários finais ou aplicações sejam
impactados. E, para minimizar os custos, as organizações precisam otimizar seus recursos e evitar gastos
desnecessários em hardware.
Conformidade: É o risco de violação de exigências regulatórias ou de falha no alcance de requerimentos
de políticas internas. As empresas precisam apresentar conformidade a regulações dos mais diversos
níveis (federais, estaduais) como SOX e ISO 9000. As organizações precisam preservar informações e
prover um eficiente sistema de busca e recuperação de conteúdo quando requerido (principalmente em e-
mails). Em adição, os empregados devem ser responsáveis pela observação das melhores práticas e
políticas internas para garantir mais eficiência à operação dos negócios
O interrelacionamento entre estes tipos de riscos da TI vem aumentando significativamente. Ampliar seus
conhecimentos e priorizá-los é um importante passo inicial no estabelecimento de um efetivo programa de
gestão de riscos da TI.
OBS: Conheça o novo portal sobre GRC desenvolvido por mim, onde portei este e todos os outros
artigos deste blog. Visite http://www.grc.net.br.
http://www.profissionaisti.com.br/2010/11/governanca-e-a-gestao-de-riscos-em-ti/
Governança e a Gestão de Riscos em TI
Por Emerson Dorow | 29 de novembro de 2010 | Governança de TI, Segurança
Olá Caros leitores!
Vamos falar hoje sobre um assunto que vem ganhando muita atenção nestes últimos tempos, isto em função das constantes transformações que as organizações estão inseridas(também em TI) e nesta economia globalizada e instável que estamos vivendo: a gestão de riscos de TI.
Para antes entrar efetivamente no assunto, vamos primeiramente entender o que é um risco. Segundo a Wikipédia “O termo Risco é utilizado para designar o resultado objetivo da combinação entre a probabilidade de ocorrência de um determinado evento, aleatório, futuro e que independa da vontade humana, e o impacto resultante caso ele ocorra. É também uma a probabilidade de ocorrência de um determinado evento que gere prejuízo econômico.”
Bom, acredito que o final da explicação “prejuízo econômico” já nos diz tudo. Podemos dizer que as empresas assumem riscos ao colocar produtos ou serviços novos no mercado. Um risco pode ser classificado como uma oportunidade e/ou uma ameaça. Uma empresa corre o risco de ganhar muito dinheiro com o novo produto/serviço (oportunidade) ou corre o risco de ter um grande prejuízo (ameaça). Grande parte dos riscos fogem do controle das empresas, portanto, a única opção é ter planos para caso os riscos se tornem verdade. A importância de se analisar os riscos cresce a cada dia. Um exemplo é o que está acontecendo no momento, às bolsas brasileiras sendo afetadas pelas crises da Grécia e Irlanda. O mundo globalizado é isto.
Os termos “risco”, “análise de risco”, “gestão de risco” vem ganhando espaço dentro das organizações. Podemos dizer que praticar Governança, seja ela empresarial, seja de TI ou de outra área, também significa o uso de ferramentas, processos e estruturas organizacionais a fim de reduzir os riscos de algo inesperado e ruim acontecer.
Na área de TI, podemos encontrar referências sobre como mitigar/controlar riscos no PMBOK, ITIL, COBIT entre outros frameworks. Temos frameworks focados em gestão de riscos como o M_O_R da OGC (http://www.mor-officialsite.com/home/home.asp) que é a mesma mantenedora da ITIL e o Risk IT (http://www.isaca.org/Knowledge-Center/Risk-IT-IT-Risk-Management/Pages/Risk-IT1.aspx) que foi concebida pela ISACA, mesma mantenedora do COBIT.
Um dos acontecimentos mais conhecidos relacionados à mitigação de riscos é o “Acordo de Basiléia I” de 1988 na cidade de Basiléia na Suíça. O acordo de Basiléia tem o objetivo de fixar índices, criando uma padronização financeira mundial, tendo como objetivo diminuir o risco operacional, e, conseqüentemente, o risco das instituições financeiras “quebrarem”. Um exemplo do acordo é que os bancos só podem emprestar 12 vezes o valor de seu capital e reservas. Em 2004 o acordo ganhou sua
segunda versão, o Basiléia II, trazendo melhorias nas regras estabelecidas. Existem uma série de outras regras, entre elas regras que impactam diretamente a área de TI.
Alguns pontos que o Acordo Basiléia II impacta em TI são: capacidade de armazenamento de dados, integridade das transações, segurança, contingência, planejamento da capacidade, integridade na emissão de relatórios entre outros.
A Gestão de Riscos de TI precisa estar no dia-a-dia dos CIOs através de: processos que precisam ser implementados para mitigação de riscos, ajustes na estrutura organizacional para acomodar estes novos processos, definição de indicadores “de riscos”, incluir a análise de riscos no Plano Diretor de TI ou Plano de Tecnologia da Informação, fazendo com que este assunto seja recorrente dentro da TI.
A primeira norma mundial (similar a ISO) referente Gestão de Riscos é a AS/NZS 34, elaborada em 1999. As etapas da gestão dos riscos são divididas em 2 fases: Identificação e avaliação.
Fase 1) Identificação
Estabelecimento do contexto: Relacionada ao escopo da avaliação que será realizada. Dentro de qual cenário o risco será analisado. Exemplo: E se uma enchente ocorrer em Blumenau?
Identificação de Riscos: É identificar o que pode dar errado dentro do escopo definido. O que uma enchendo afetaria na nossa organização para clientes e colaboradores?
Análise dos Riscos: Quais as conseqüências do risco caso ocorra. Dentro da análise dos riscos, temos 2 sub-atividades:
Análise qualitativa dos riscos: Identificar o impacto que certo risco poderá trazer para a organização e qual a probabilidade dela ocorrer.
Análise quantitativa: Estimar em valores $$ o quanto este risco poderá custar para a organização.
Fase 2) Avaliação
Plano de Resposta aos Riscos: Diante de um risco pode-se tomar 4 tipos de ação.
Evitar: Tomar uma ação para evitar totalmente um risco. Por exemplo, proibir o acesso a internet dentro da organização. Isto evita que vírus sejam copiados da internet.
Transferir: Pode-se transferir o risco para um terceiro. Exemplo: passar a administração de um servidor para um terceiro, e colocar em contrato penalidades caso o acordo estabelecido não seja cumprido.
Mitigar: Tomar ações para minimizar riscos. Exemplo: Limitar o uso da internet para alguns sites confiáveis somente.
Aceitar: Existem alguns riscos que são tão caros de serem “combatidos” que vale mais á pena aceitar o risco e ter um “plano B” para caso o mesmo ocorra. Exemplo: Guardar backup fora da empresa caso algum sinistro ocorra. Isso é geralmente utilizado, pois o custo de se ter uma estrutura de TI a parte não justifica (que é a realidade da maioria das
organizações). Guarda-se somente um backup fora da empresa para restaurar o ambiente caso o sinistro ocorra.
Monitorar e controlar os Riscos: Acompanhar o dia-a-dia, fazendo o monitoramento dos riscos atuais e identificando novos riscos. Esta etapa também tem o objetivo de verificar se as políticas e procedimentos quanto a gestão dos riscos estão sendo seguidas. Também os indicadores referentes riscos são acompanhados nesta etapa.
Bem, a gestão de riscos é um processo importante e contínuo, e deve fazer parte da estratégia das organizações, já que como sabemos, os riscos de TI, não são de responsabilidade somente de TI, mas sim de toda a organização, principalmente dos tomadores de decisão.
Você tem alguma experiência em relação a riscos de TI? Compartilhe conosco, seu comentário é muito bem vindo.
Um grande abraço e até a próxima!
http://www.compromisso.net/riscos-ti
Conceituação da Gestão de Riscos e Controles Internos de TIO que é Risco?Definição de Gestão de RiscosPapeis e Responsabilidades dos profissionais envolvidos na gestão de riscosSegregação de função e Conflito de InteressesFramework Cobit e associação a Riscos e ControlesO que é Cobit?Atuação do Cobit na Gestão de RiscosSarbanes-Oxley (SOX)O que é lei SOXAplicação da SOX em TIIdentificação e Classificação de Riscos e ControlesComo Identificar, Avaliar e Classificar Riscos e Controles com foco em TIComo utilizar a Gestão de Riscos de forma favorávelGestão de Riscos não é BurocraciaGarantindo a atuação de TIMétricas de controlesComo estabelecer indicadores de riscosMedindo a eficiência do controle de riscosMelhoria contínuaImplementar melhorias em processosValor agregado da GRC
http://www.andracom.com.br/solucoes/gestao-de-riscos/
Introdução
Auditoria de Sistemas de Informática ou Riscos Tecnológicos é uma atividade que tem como objetivo o Gerenciamento de Risco Operacional, ou seja, avaliar e adequar as tecnologias e sistemas de informação utilizados na organização por meio de revisões e controles, desenvolvimento de sistemas, procedimentos do departamento de TI, da infra-estrutura, da operação, desempenho e segurança da informação envolvido com o processamento de informações críticas para a tomada de decisão.
No contexto da auditoria, o Risco é definido como as probabilidades de ocorrências de um determinado fato com aspecto que possam impedir ou impactar os objetivos estratégicos ou operacionais e comprometer a reputação corporativa, que em alguns casos decorrem de processos equivocados, da falta ou inadequação de controle interno de uma organização.
Em se tratando de Retorno de Investimento os requisitos de conformidade podem ajudar na integração de soluções técnicas mais profundamente nas organizações, embora muitas regulamentações não exijam controles baseados em SI ou TI especificamente, freqüentemente é a divisão de SI ou TI que acaba implementando os controles técnicos que as regulamentações sugerem veementemente. O ROI pode ser determinado através do cálculo de tempo e dos recursos que podem ser economizados pela integração de controle de conformidade com a área de tecnologia em comparação com os custos únicos e contínuos.
A gestão de riscos é um processo fundamental de suporte à tomada de decisões para SI ou TI e dos negócios, uma integração que pode apresentar diferentes níveis de sucesso de acordo com o modelo do Risk Management Maturity Model da PMI que é uma referência mundial em gestão de negócios.
A Andracom possui profissionais capacitados para realizar processos que consiste reunir e avaliar evidências probabilístico para determinar se um sistema suporta adequadamente um ativo de negócio, se é capaz de manter a integridade dos dados e se é possível cumprir com os objetivos e regulamentações e leis estabelecidas.
O processo de trabalho executado pelos auditores da Andracom é baseado na identificação dos escopos e dos objetivos para executar a verificação do grau de aderência aos processos e sistemas que garantem que os recursos aplicados defina níveis de materialidade relacionado aos aspectos qualitativo e quantitativo, relevantes para evitar conflitos e problemas nos negócios.
Benefícios
Reduz custos e elimina risco da informação; Consolida informações sobre Análise de Riscos, Compliance e Continuidade de
Negócios; Gera mais confiança na tomada de decisões no investimento de tecnologia; Viabiliza claramente a priorização de ações e investimentos; Amplia a visão administrativa dos ativos da organização;[/tab] Identifica, avalia e trata os potenciais obstáculos para se alcançar os objetivos; Identifica e trata as violações mandatórias ou voluntárias de limites; Fornece um framework comum para gestão de riscos e avaliação da conformidade
com padrões e regulamentações; Efetua Levantamento exaustivo das infra estruturas tecnológicas, os processos, os
interfaces, os sistemas de controle e segurança; Obtém visão integrada dos ativos ligados aos processos de negócio da organização; Mantém inventário de ativos; Gera automaticamente os relatórios, gráficos e
estatísticas; Gera índices e métricas; Obtém visão georreferenciada dos riscos; Mapeia a evolução dos riscos; Gera indicadores de riscos para governança corporativa; Efetua levantamento detalhado do sistema de informação atual.
http://www.isaca.org/Journal/Past-Issues/2011/Volume-2/Pages/IT-Scenario-Analysis-in-Enterprise-Risk-Management-portuguese.aspx
Os cenários são uma ferramenta poderosa no arsenal do gerente de riscos. Eles ajudam os profissionais a fazerem as perguntas certas e a se prepararem para o inesperado. A análise de cenários se tornou uma ‘nova’ e melhor prática na gestão de riscos corporativos (ERM) (consulte a figura 1). Além disso, a análise de cenários é uma peça central no modelo de Risk IT da ISACA.1, 2
A análise de cenários de riscos é uma técnica para tornar o risco de TI mais concreto e tangível e de possibilitar uma análise e avaliação de riscos apropriada.3 É a abordagem central para levar realismo, conhecimento, envolvimento organizacional, análise aprimorada e estrutura para a complexa questão do risco de TI.
Fluxo da Análise de Cenário
Um dos desafios da gestão de riscos de TI é identificar os riscos relevantes entre tudo que pode dar errado. Uma técnica para superar esse desafio é o desenvolvimento e o uso de cenários de riscos. Após esses cenários serem desenvolvidos, eles são usados durante a análise de riscos, quando são feitas estimativas da frequência em que os cenários ocorrem e do impacto que causam nos negócios.
A figura 2 mostra que os cenários de riscos de TI podem ser derivados de duas formas diferentes:
Uma abordagem “top-down”, que começa a partir dos objetivos de negócios gerais e na qual é feita uma análise dos cenários de riscos de TI mais relevantes e prováveis que estão afetando os objetivos de negócios
Uma abordagem “bottom-up”, na qual uma lista de cenários genéricos é usada para definir cenários mais concretos e personalizados
As abordagens são complementares e devem ser usadas simultaneamente. De fato, os cenários de riscos devem ser relevantes e vinculados a riscos corporativos reais. Por outro lado, o uso de um conjunto de cenários de riscos genéricos de exemplo ajuda a assegurar que nenhum risco seja ignorado e fornece uma visão mais abrangente e completa do risco de TI.
A seguir está uma abordagem prática que se provou ser útil no desenvolvimento de um conjunto de cenários de riscos relevantes e importantes:
1. Usar uma lista de cenários de riscos genéricos como exemplo4 para definir um conjunto inicial de cenários de riscos concretos para a organização.
2. Executar uma validação com relação aos objetivos de negócios da organização. 3. Refinar os cenários selecionados com base na validação, categorizá-los em um nível alinhado à
importância5 da organização. 4. Reduzir o número de cenários a um conjunto gerenciável.6 5. Manter todos os riscos em uma lista para que eles possam ser reavaliados na próxima iteração e
incluídos para análise detalhada, caso tenham se tornado relevantes nesse momento. 6. Incluir ‘evento inesperado’ nos cenários para tratar dos incidentes que não estiverem previstos
nos cenários especificados.
Assim que o conjunto de cenários de riscos for definido, poderá ser usado para a análise de riscos. Na análise de riscos, a frequência e o impacto do cenário são avaliados. Os componentes importantes dessa avaliação são os fatores de risco, que serão descritos na próxima seção.
Isso não é tão complicado assim, então por que as organizações não usam os cenários de riscos com maior frequência e rotineiramente? Lembre-se de que os cenários são, na realidade, mais difíceis de desenvolver do que parecem. Um bom cenário leva tempo para ser construído e requer um bom conhecimento de inúmeras áreas da empresa e, dessa forma, um conjunto completo exige um grande investimento de tempo e energia.
Fatores de Risco
Fatores de risco são os fatores que influenciam a frequência e/ou o impacto corporativo dos cenários de riscos. Eles podem ter naturezas diferentes e ser classificados em duas categorias principais:
Fatores ambientais, que podem ser divididos em fatores internos e externos, sendo a diferença o grau de controle que a empresa tem sobre eles:
o Os fatores ambientais internos estão amplamente sob o controle da empresa. o Os fatores ambientais externos estão amplamente fora do controle da empresa.
Capacidades, por exemplo, como a empresa está trabalhando em diversas atividades relacionadas a TI. Elas podem ser distinguidas alinhadas aos três modelos (frameworks) principais da ISACA:
o Capacidades de gestão de riscos de TI — Até que nível a empresa tem maturidade para realizar os processos de gestão de riscos definidos no Risk IT
o Capacidades de TI — Qual é a qualidade dos processos de TI, conforme definidos no COBIT
o Capacidades corporativas relacionadas a TI (ou gestão de valores) — Expressos por meio dos processos do Val IT
A importância dos fatores de risco está na influência que eles têm sobre o risco de TI. Eles são grandes influenciadores da frequência e do impacto dos cenários de TI e devem ser levados em consideração durante cada análise de risco, quando a frequência e o impacto forem avaliados. A figura 3 representa os fatores de risco.7
Componentes Dos Cenários de Riscos
Um cenário de riscos de TI é uma descrição de um evento relacionado a TI que pode causar um impacto nos negócios, quando e se ele ocorrer. Para os cenários de riscos estarem completos e serem úteis para fins de análise, eles devem conter determinados componentes, como mostra a figura 4.
Desenvolvimento de Cenários
O uso de cenários é a chave para a gestão de riscos e a técnica pode ser aplicada a qualquer empresa. Cada empresa deve criar um conjunto de cenários (contendo os componentes descritos anteriormente) como ponto inicial para conduzir sua análise de riscos. Construir um cenário significa combinar todos os valores possíveis de todos os componentes.
Cada combinação deve ser avaliada de acordo com sua relevância e realismo e, caso seja relevante, registrada na lista de riscos. Na prática, isto não é possível pois resultaria em um número muito grande de cenários. O número de cenários a serem desenvolvidos deve ser mantido em um número bem menor para permanecer gerenciável, pois todas as combinações possíveis não podem ser armazenadas.8
Conclusão
Os cenários têm três benefícios que os tornam muitos poderosos para a compreensão de riscos e oportunidades.9
Primeiro, os cenários expandem o pensamento. Se as pessoas desenvolverem uma variedade de resultados possíveis, pensarão de forma mais abrangente. Ao demonstrar como, e por que, as situações poderiam ficar rapidamente melhores ou piores, elas se preparam melhor para a gama de possibilidades que o futuro pode trazer.
Segundo, os cenários revelam futuros inevitáveis ou quase inevitáveis. Ao desenvolver cenários, as pessoas buscarão resultados predeterminados, principalmente cenários inesperados, que costumam ser a origem mais poderosa de novo conhecimento revelado no processo de desenvolvimento de cenários.
E, por último, os cenários protegem contra o ‘pensamento de grupo’. Geralmente, a hierarquia de uma organização inibe o fluxo livre de debate. Os funcionários aguardarão (principalmente em reuniões) o executivo sênior declarar sua opinião antes de arriscar-se dizendo a sua própria, que, então, magicamente espelha a do executivo sênior. Os cenários permitem que a organização se livre dessa armadilha fornecendo um ‘porto seguro’ político para pensamentos contrários.
Os cenários não fornecerão todas as respostas, mas ajudarão os executivos a fazerem perguntas melhores e a se prepararem para o inesperado. Isso os tornam uma ferramenta extremamente valiosa, de fato.
http://www.latintechnology.com.br/tech/staticpages/index.php?page=20110902160815585
CONTROLE E GESTÃO DE RISCOS DE TI
Soluções que visam reduzir os riscos à corporação pelo uso incorreto ou indevido dos recursos de TI. Incluem controles de permissionamento e administração dos recursos, e mecanismos de análise automática de vulnerabilidades decorrentes de configurações incorretas em servidores e estações de usuários.
•
Principais objetivos:Controlar o uso de recursos de TIMonitoramento pró-ativoApoio à Segurança da Informação
•
Controle e Monitoramento da Administração do AD e PolíticasTodas as ações executadas no AD;Auditoria de Gruoup Policies;Controle e Monitormamento do Uso de Soluções de Instant Messaging e UC IM Corporativos e Abertos (MSN, AOL, etc.) Unified Communications;Controle e Monitoramento do Uso de InternetPermite controlar o uso da Internet por parte dos usuários;Controle e Monitoramento do Uso de Email CorporativoPermite controlar as mensagens de email recebidas e enviadas pelos usuários corporativos;Controle do Acesso a Servidores de Arquivos CorporativosPermite administrar e controlar as ações que podem ser executadas sobre arquivos de servidores corporativos, de acordo com grupos de perfis;Configurações de Servidores para Detecção de VulnerabilidadesPermite o gerenciamento centralizado e automatizado de configurações de servidores para detecção de vulnerabilidades de segurança;Proteção Contra Exposição de Dados Sensíveis e Imagem em Mídias SociaisPermite controlar a exposição da imagem da empresa em Mídias Sociais (Twitter, Facebook, LinkedIn);
Um componente essencial de qualquer programa de Gerenciamento Corporativo de Riscos, ou Enterprise Risk Management (ERM) hoje em dia é o Gerenciamento de Riscos de TI. Existindo cada vez mais ameaças à privacidade e à Segurança da Informação, as empresas estão procurando fortalecer seus processos de Gerenciamento de Riscos de TI de varias formas.Fazendo uma analise de todos os projetos de consultoria em que participei durante os anos de 2010 e 2011, selecionei as seguintes dez sugestões que os gestores de nível superior da empresa podem implementar de modo a melhorar significativamente a postura de Segurança da Informação e, consequentemente, reduzir o risco que TI representa para o negocio:1. Estabelecer um comitê de riscos separado do comitê de auditoria e atribuir a ele a responsabilidade pelos riscos corporativos, incluindo aí os riscos de TI. Recrutar diretores com experiência em Governança e em riscos de TI.2. Garantir que a privacidade e as regras de segurança dentro da organização sejam segregadas, com responsabilidades adequadamente atribuídas. O CIO, CISO/CSO, e o CPO devem se reportar de forma independente para a gerência sênior.3. Avaliar a estrutura organizacional existente e estabelecer uma equipe interorganizacional que se reuna, pelo menos mensalmente, com as tarefas atribuídas de coordenação e comunicação sobre o assunto privacidade e Segurança da Informação para a empresa. Esta equipe deve incluir membros da gerência sênior de recursos humanos, relações públicas, legais e de aquisição, bem como o CFO, CIO, CISO/CSO (ou CRO), o CPO, bem como executivos de negócios.4. Revisar as políticas de Segurança da Informação para que suportem a criação e a manutenção de uma cultura de segurança e respeito à privacidade. As organizações podem melhorar a sua reputação, valorizando a Segurança da Informação e a proteção da privacidade.5. Revisar os componentes do programa de Segurança da Informação e garantir que eles estejam aderentes com as melhores práticas e padrões de mercado, e incluir no programa os processos de resposta a incidentes, continuidade de negócios e recuperação de desastres.6. Estabelecer para os fornecedores de produtos e serviços de TI, requisitos de privacidade e segurança com base nos aspectos chave de negócios corporativos, incluindo auditorias anuais e revisões periódicas dos requisitos de segurança.7. Realizar uma auditoria anual do programa de Segurança da Informação, para ser apresentado e revisto pelo comitê de auditoria.8. Realizar uma revisão anual do programa de Segurança da Informação considerando a efetividade dos controles, para ser apresentado revisto pelo comitê de risco corporativo, e assegurar que todas ameaças e as fraquezas identificadas sejam consideradas.9. Apresentar periodicamente para a alta administração relatórios relativos à privacidade e os riscos de Segurança da Informação para serem utilizados como base da revisão orçamentaria anual de TI para a gestão de riscos de TI.10. Realizar auditorias anuais de conformidade e de privacidade e revisão dos planos de resposta a incidente, continuidade de negócios e recuperação de desastres.Estas sugestões devem ser integradas numa abordagem holística com a gestão de riscos corporativos para fornecer um programa eficaz e contínuo que deve ser difundido em todos os níveis dentro da empresa. O processo de integração eleva o nível de consciência de risco corporativo e de TI da empresa e, como consequencia, garante retornos positivos para os proprietários, investidores e acionistas durante os próximos anos.
http://andrepitkowski.wordpress.com/2012/01/28/gestao-de-riscos-de-ti/
Pode parecer obvio o desejo de qualquer empresa em desenvolver sua estrutura de gerenciamento de riscos, porem, como diz Galvão Bueno enquanto narra corridas de Formula 1, chegar é uma coisa, passar é outra. Completar este processo com sucesso requer a execução de uma grande quantidade de tarefas detalhadas e complicadas. Enquanto as necessidades de confidencialidade, integridade e disponibilidade (segurança) são determinadas pelas áreas de negocio, há que se considerar também pessoas, processos e tecnologia para o sucesso desta empreitada.
Sem pessoas não dá!
Para os CISOs (Chief Information Security Officers) e suas empresas, os funcionários podem ser os ativos mais importantes ou de maior responsabilidade quando se fala em gerenciar riscos de TI. O ideal é que os CISOs trabalhem junto aos funcionários para desenvolver uma cultura de segurança da informação contemplando a estrutura de três pilares:
Gestão de Acessos e Gestão de Identidades: Definir funções para diferentes usuários no ambiente de trabalho, desde assistentes administrativos até o executivo chefe de finanças, e especificar privilégios de acesso físicos e lógicos para todos os funcionários. Uma vez que estas regras estejam definidas, garantir que todos possuam os acessos apropriados, de acordo com suas funções.
Organização da Segurança da Informação: A idéia é tornar todos responsáveis pela segurança da informação. Os CISOs bem sucedidos entendem que a empresa necessita considerar muito mais do que simplesmente atacar apenas os problemas de segurança em TI. Devem também gerenciar os riscos inerentes à proteção da informação corporativa em todas as suas formas.
Treinamento e conscientização: Desenvolver a imagem e o plano de marketing para a segurança da informação. Os funcionários que não atuam diretamente com segurança e privacidade de dados não tem idéia do que seja gestão de riscos da informação. E é função do CISO mantê-los informados e interessados no assunto segurança da informação.
Controle sobre a tecnologia cria eficiência e economiza tempo
Seres humanos são muito mais espertos do que computadores, mas computadores são muito melhores em executar tarefas repetitivas e que consomem tempo. Assim sendo, tarefas de monitoração, garantia de execução, respostas, métricas e reportes sobre controles de segurança da informação são os candidatos primários para automação (ou automatização), mas somente depois que todos os funcionários foram treinados e os processos foram especificados e detalhados. Se as pessoas e os elementos de processos forem negligenciados, todo trabalho será inevitavelmente perdido. Podemos dividir a área de Tecnologia em sete domínios de riscos.
Rede: Use a tecnologia para tornar sua rede inteligente. Segurança de rede significa manter a informação segura contra aqueles de fora da empresa, protegida contra acesso não autorizado daqueles de dentro da empresa e também segura enquanto em transito.
Banco de Dados: Criptografar os dados, preferencialmente de forma corporativa fazendo uso de uma ferramenta de gestão centralizada. Mantenha controle sobre os bancos de dados com monitoramento ativo, gestão de vulnerabilidade e segurança de dados quando em transito.
Aplicativos: Definir estratégias corporativas para proteger sistemas aplicativos. Tal como a proteção de um banco de dados, mantenha autenticação de acesso aos dispositivos de armazenamento e criptografe os dados contidos nestes dispositivos quando apropriado.
Dispositivos: Primeira linha de defesa. Proteção para as estações de trabalho, notebooks e dispositivos moveis como PDAs e SmartPhones. Normalmente são estes dispositivos que, por falha ou negligencia de atualização, são os primeiros a serem infectados e introduzem pedaços de códigos danosos (malware) no ambiente corporativo. Existem tecnologias de antivírus, antispam, criptografia de disco, gestão de configuração, firewall/IPS e fatores de autenticação para proteger estes elos mais fracos da corrente de trabalho.
Infraestrutura: Reduza sua superfície de ataque. 69% de todas as vulnerabilidades documentadas em 2006 referiam-se a aplicações baseadas em Web. Para reduzir a superfície de ataque use ferramentas com tecnologia para analise de código e instale um firewall especifico para servidores Web, de forma a defender seu aplicativo de requests inapropriados.
Conteúdo: Proteção para a troca de informações de negocio. O CISO deve garantir que toda informação sensível ao negocio está criptografada e que todo trafego de entrada e saída, Web, e-mail e IMs esta sendo filtrado de acordo (em conformidade = compliance) com as políticas corporativas.
Criptografia de dados: Simplesmente ou meramente criptografar dados não oferece proteção adequada. É necessária a elaboração e implementação de uma estratégia corporativa com critérios estritos de autorização de acesso para manter os dados seguros e a salvo de acessos não autorizados, desde os dados armazenados até os dados em transito.
Processos é a cola que une Pessoas e Tecnologia
Até a melhor estrutura de gerenciamento de riscos torna-se inútil se não existirem processos por detrás das políticas. Para manter a numerologia vamos dividir processos em sete domínios:
Gestão de Riscos: Significa reduzir, transferir ou aceitar os riscos. Introduza processos para identificar, avaliar e mitigar os riscos relacionados à segurança da informação. Depois crie processos para priorizar, monitorar e acompanhar os riscos. Possuir um processo formal de gerenciamento de riscos garante que a gestão do negocio esta consciente de quais são os riscos críticos e assim pode tomar as ações apropriadas para mitigar, reduzir, aceitar ou transferir estes riscos.
Estrutura de Políticas e Compliance: Providenciar guias e normas concretas sobre o assunto para os usuários. Produzir políticas de segurança é apenas o primeiro passo. As políticas necessitam ser convertidas em padrões, procedimentos e guias técnicos de implementação.
Gerenciamento de ativos de Informação: Muitas empresas têm dificuldade em manter seus ativos de informação porque estes estão suportados por processamento de dados. Para tentar resolver este problema a construção dos processos envolve especificar quem é o proprietário daquela informação, classificar os ativos, gerenciar estes ativos através do seu ciclo de vida e garantir de forma apropriada a retenção e a destruição destes ativos.
Continuidade de Negocio e Recuperação de Desastres: A idéia é reduzir substancialmente o impacto das interrupções e desastres de negocio – ou em alguns casos até evitá-los – atuando com rigor nos processos de Continuidade de Negócios e Recuperação de Desastres. O CISO necessita desenvolver um conjunto de processos
para manter, treinar e gerenciar os riscos de negocio, garantir que os sistemas estejam redundantes e criar disponibilidade de pessoal se e quando for necessário.
Gerenciamento de Ameaças e Incidentes: Novamente, processos bem estabelecidos são essenciais para garantir que todas as ameaças sejam pesquisadas, planejadas e respondidas de forma apropriadas. Muitos CISOs permanecem focados nas ameaças à infraestrutura de TI, a despeito do fato de que a maioria das ameaças tem origem em vulnerabilidades que existem em aplicações.
Segurança Física e ambiental: Não importa o quão sofisticada seja sua segurança digital; se os seguranças (Pessoas) que ficam na entrada da empresa ou nas catracas não controlam o acesso ao ambiente físico corporativo de forma consistente, sua empresa nunca estará segura. Pensando adiante, varias empresas estão pensando na convergência da segurança física e lógica, colaborando em processos e pessoal, utilizando diferentes conjuntos de tecnologia para compartilhar informações e melhorar a eficiência geral da segurança. Equipamentos e locais necessitam manutenção regular e controles ambientais adequados, tais como aquecimento, ar condicionado, geradores para manterem a continuidade das operações.
Gerenciamento das Operações e Desenvolvimento de Sistemas: Não deixe a segurança chegar a um ponto em que problemas podem ser explicados, mas não justificados. Envolvendo-se com a segurança desde o primeiro dia, a empresa economizara tempo, recursos e dinheiro. Gerenciamento de mudanças, revisões periódicas da arquitetura, garantia de qualidade e controle de acesso para desenvolvimento, homologação e produção garantem que sistemas e aplicações estão adequadamente protegidos.
Abordagem de cima para baixo (top-down)
Segurança é um negocio complicado, então descobrir um meio simples de gerenciar e reportar riscos onde as prioridades de negocio são mandatórias, é a única forma de controlar seu trabalho (CISO) e convencer os gestores do negocio de que este trabalho será realmente efetivo, isto é, produzirá resultados positivos para o negocio. Juntando as pessoas, tecnologia e processos de segurança em políticas, as empresas podem estabelecer uma estrutura que efetivamente monitora, mede e reporta (controles) os riscos tornando a empresa conforme com as políticas de segurança.
http://andrepitkowski.wordpress.com/2011/06/20/os-dominios-da-gestao-de-riscos/
O Gráfico de Pareto, também chamado de diagrama de distribuição de Pareto, é um gráfico de barras (1) verticais onde os valores são plotados em ordem decrescente com frequencia relativa da esquerda para a direita. Os Gráficos de Pareto são extremamente úteis para analisar os problemas que precisam de atenção prioritária porque os pontos mais altos no gráfico, que representam a frequencia da ocorrência do evento, ilustram claramente quais variáveis têm maior efeito cumulativo em um determinado sistema.
O gráfico de Pareto recebe este nome em homenagem ao economista italiano Vilfredo Pareto. Em 1906, Pareto observou que 20% da população na Itália detinha 80% de todas as propriedades imobiliárias. Ele propôs que essa relação poderia ser encontrada em muitos lugares do mundo físico e teorizou que poderia ser uma lei natural, onde 80% dos resultados são determinados por 20% das causas.
Na década de 1940, a teoria de Pareto foi aperfeiçoada pelo Dr. Joseph Juran, um engenheiro elétrico americano o qual é amplamente creditado como sendo o pai do Controle de Qualidade. Foi o Dr. Juran, que decidiu chamar a relação de 80/20 o “Princípio de Pareto”. A aplicação do Princípio de Pareto para métricas de negócio ajuda a separar os “poucos vitais” (os 20% que tem o maior impacto) da ”muitos úteis” (os outros 80%). O gráfico abaixo ilustra o Princípio de Pareto por frequencia de mapeamento, com a suposição de que o algo que acontece com mais frequencia, é o que tem mais impacto sobre o resultado.
O gráfico de Pareto é uma das sete ferramentas básicas de Controle de Qualidade. As variáveis independentes (2) no gráfico são exibidas no eixo horizontal, e as variáveis dependentes )2) são retratadas como as alturas das barras. Um gráfico ponto-a-ponto, que representa a frequencia acumulada relativa, pode ser sobreposta no gráfico de barras. Como os valores das variáveis estatísticas são colocados em ordem de frequencia relativa, o gráfico revela claramente quais são os fatores que têm o maior impacto, e onde se deve prestar atenção para produzir o maior benefício.
Um Exemplo
O Gráfico de Pareto pode ser usado para identificar rapidamente quais as principais questões de negócios que precisam de atenção. Usando dados concretos em vez da intuição, não existem dúvidas sobre quais são os problemas que estão influenciando o resultado. No exemplo abaixo, a loja ACME de comercialização de vestuário estava sofrendo com um declínio constante nas vendas. Antes do gerente realizar uma pesquisa de satisfação com os clientes, ele assumiu que o declínio nas vendas foi devido à insatisfação dos clientes com a linha de roupas que ele estava vendendo, e culpou sua cadeia de abastecimento por seus problemas. Mas então, depois de realizar uma pesquisa de satisfação e mapear a frequencia das respostas, ficou claro que as verdadeiras razões para o declínio do seu negócio não tinha nada a ver com a sua cadeia de abastecimento. Através da tabulação dos dados da pesquisa e a representação num Gráfico de Pareto, o gerente pode conferir quais variáveis estavam tendo maior influência. Neste exemplo, dificuldades de estacionamento, vendedores mal preparados e problemas de iluminação estavam prejudicando o negócio. Seguindo o Princípio de Pareto, essas são as áreas onde devem se concentrar a atenção para as vendas voltarem a crescer.
(1) Um gráfico de barras é a interpretação pictórica de dados estatísticos, em que a variável independente pode atingir somente determinados valores discretos. A variável dependente pode ser discreta ou contínua. A forma mais comum de um gráfico de barras é o gráfico de barras vertical, também chamado de gráfico de colunas.
Em um gráfico de barras verticais, os valores da variável independente são plotados ao longo de um eixo horizontal da esquerda para a direita. Os valores da função são exibidos como barras verticais sombreadas ou coloridas de igual espessura, estendendo-se para cima em várias alturas a partir do eixo horizontal. Em um gráfico de barras horizontais, a variável independente é traçada ao longo de um eixo vertical de baixo para cima. Os valores da função são exibidos como barras horizontais sombreadas ou coloridas de igual espessura estendendo-se para a direita, com sua esquerda terminando alinhada verticalmente.
A figura acima é exemplo de um gráfico de barras verticais representando os resultados de um teste aplicado a uma classe hipotética de alunos. Cada letra (A até F) é representada por uma barra sombreada vertical de uma determinada altura. O total das porcentagens é igual a 100. (Se o total não for 100%, a precisão do gráfico ou os dados de apoio seriam questionáveis!) A percentagem de estudantes que recebem uma nota específica é diretamente proporcional à altura da barra que representa essa categoria. A espessura da barra é determinada apenas para maior clareza de ilustração.
Em um tipo específico de gráfico de barras verticais denominado Gráfico dePareto, os valores das variáveis dependentes são plotados em ordem decrescente de frequencia relativa da esquerda para a direita. Um outro tipo de gráfico de barras denominado de histograma usa retângulos para apresentar a frequencia de itens de dados em sucessivos intervalos numéricos de igual tamanho. Outros tipos de gráficos de barras permitem traçar vários intervalos a partir das variáveis dependentes, múltiplas
variáveis independentes, variáveis positivo/negativo e variáveis multi-categoria.
(2) variáveis independentes e dependentes
Uma variável independente é uma variável que é manipulada para determinar o valor de uma variável dependente. A variável dependente é o que está sendo medido em um experimento, ou avaliada em uma equação matemática, e as variáveis independentes são as entradas para a medição.
Em uma simples equação matemática, por exemplo: A=B/C
as variáveis independentes são B e C; determine o valor de A.
Aqui um outro exemplo:Um professor deseja comparar o número de alunos atrasados vestindo preto com o número de alunos atrasados vestindo azul. Neste cenário, a cor do vestuário é a variável independente, e a diferença entre o número de alunos, classificados pela cor da roupa, é a variável dependente.
Mais um exemplo:
Um fiscal de trânsito precisa comparar o número de motoristas que avançam o semáforo vermelho das 08:00 até às 09:00 com o número de motoristas que o fazem das 09:00 até às10:00. Neste cenário, o intervalo de tempo é a variável independente, e a diferença entre o número de condutores avançando semáforos vermelhos durante esses períodos de tempo é a variável dependente.
http://andrepitkowski.wordpress.com/2011/10/01/o-principio-de-pareto-e-sua-teoria-dos-8020/
Em um mundo perfeito, a sua rede não sofreria nenhuma degradação de serviço ou ataque. Você ficaria em conformidade perfeita com todos os regulamentos do governo, e seus usuários seriam todos auto-sustentáveis. A nuvem tomaria conta de quase todas as suas necessidades de infraestrutura, e não haveria um único dispositivo de acesso a rede você não aprovasse primeiro e controlasse.
Você receberia, finalmente, o respeito e a admiração que você realmente merece.
Infelizmente, o fosso entre seus sonhos e a realidade ura e fria só fica maior a cada dia. Isso não significa que você deva desistir, mas que você precisa cair na real sobre o que você pode mudar e o que você deve aceitar.
Aqui estão 10 cenários que os times de TI devem aprender a conviver.
1:: A revolução do iPhone chegou para ficar
Mais e mais nos dias de hoje os locais de trabalho se assemelham a uma festa nerd do tipo BYOD (traga seu próprio dispositivo). O problema? Muitos departamentos de TI nunca receberam um convite ou se dispuseram ao RSVP.
Pesquisas realizada pela IDC para a Unisys, em maio de 2011, descobriu que 95 por cento dos profissionais da informação utilizam tecnologia pessoal no trabalho – ou seja, aproximadamente o dobro do que os executivos das mesmas empresas entrevistadas estimaram. E a IDC prevê que o uso de smartphones de propriedade dos empregados no local de trabalho vai dobrar até 2014.
Nathan Clevenger, arquiteto chefe de software de dispositivos móveis da empresa de gestão ITR e autor ddo livro “iPad na empresa” (Wiley, 2011), diz que o iPhone e iPad são os catalisadores para o consumo de TI. Departamentos de tecnologia podem permitir que eles sejam usados de forma segura ou assumir as conseqüências do risco.
“É melhor que a TI suporte os dispositivos e as tecnologias demandas pelos usuários, porque de qualquer modo eles usarão a tecnologia pessoal para fins comerciais”, diz Clevenger. “Essa é uma situação muito mais perigosa do ponto de vista de segurança do que apoiar a dispositivos de consumo, em primeiro lugar.”
É preciso encontrar um meio termo entre tentar (sem sucesso) manter a tecnologia de consumo fora do local de trabalho, e permitir o acesso irrestrito à rede a partir de qualquer dispositivo, diz Raffi Tchakmakjian, vice-presidente de gerenciamento de produtos da Trellia.
“O BYOD é um cenário com o qual os departamentos de TI estão aprendendo a conviver, mas lutam para gerenciá-los com segurança”, diz ele. “Torna-se muito difícil garantir a conformidade com padrões corporativos e ainda atender às necessidades de negócios. Eles precisam de uma solução de gestão que garanta a segurança dos dados corporativos e permita gerir os custos com um impacto mínimo nas operações de TI e infra-estrutura.”
2:: Você perdeu o controle sobre como sua empresa usa a tecnologia
Não são apenas os dispositivos pessoais de consumo que estão invadindo o local de trabalho. Hoje, um usuário da empresa sem absolutamente nenhum talento para a tecnologia pode contratar serviços de terceiros, na nuvem, com apenas um telefonema e um cartão de crédito ou, em muitos casos, um formulário Web e um clique. A TI perdeu o controle sobre ele.
Isso não é necessariamente uma coisa ruim. O universo crescente de nuvem e aplicativos móveis pode dar aos usuários de negócio acesso rápido aos recursos de tecnologia que precisam, sem criar uma carga adicional sobre a equipe ou os orçamentos de TI.
“Durante anos, a TI tem controlado a cada aplicação, e o processo em torno da tecnologia”, diz Jeff Stepp, diretor da Consultoria Copperport. Agora, seu trabalho não é mais o de fornecer todas as soluções, mas permitir que os usuários de negócios tomem as decisões corretas, diz Scott Goldman, CEO da TextPower, fabricante de plataformas de mensagens de texto para o negócio.
“Em vez de lutar para recuperar o controle, os departamentos de tecnologia devem se esforçar por algo mais valioso: ter influência”, diz ele. “Quando os departamentos de TI passam a tratar seus usuários como clientes em vez de queixosos, ficam mais próximos dos resultados que desejam. Os dias do todo-poderoso departamento de TI se foi. Quanto mais cedo eles percebem isso, mais rápido eles vão realmente recuperar algum nível de controle.”
3:: Você sempre enfrentará algum tempo de inatividade
Eventualmente, até mesmo os data centers com melhor manutenção vão cair. E, nessa hora, se você tiver redundância, perfeito. Você é um dos poucos sortudos a trabalhar em um ambiente ideal.
Em setembro de 2010 , uma pesquisa com mais de 450 gerentes de data center, patrocinada pela Emerson Network Power e realizada pelo Instituto Ponemon, revelou que 95 por cento deles já sofreram pelo menos um desligamento não planejado durante os últimos 24 meses. A duração média do tempo de inatividade: 107 minutos.
Em um mundo perfeito, todos os centros de dados seriam construídos em torno de arquitetura altamente redundante, onde nunca a carga máxima seja superior a 50 por cento, diz Peter Panfil, um vice-presidente de Liebert AC Power, uma divisão da Emerson Network Power. Eles seriam capazes de lidar com cargas de pico, mesmo quando os sistemas críticos falhassem e outros estivessem em manutenção, com a possibilidade de recuperação separada pronta para entrar em operação em caso de um desastre de toda a região.
No mundo real, no entanto, 100 por cento o tempo de atividade só é possível se você estiver disposto a pagar por ele, e a maioria das empresas não é, diz Panfil.
Organizações onde o tempo de atividade é essencial para a sobrevivência estão segmentando seus data centers, acrescenta ele, reservando-se a alta disponibilidade para seus sistemas mais críticos e aceitando menos em outro lugar. Se seu e-mail cai por meia hora, é chato, mas não é fatal. Se o seu sistema de transações em tempo real cai, sua empresa pode perder milhares de dólares por minuto.
“É sempre melhor ter a capacidade e não precisar usá-la e a não ter”, diz ele. “Mas as pessoas que estão assinando os cheques nem sempre fazem essa escolha.”
4:: Seus sistemas nunca serão totalmente compatíveis
Como o tempo de atividade, a adesão 100 por cento é um objetivo nobre, mais teórica do que prática. O seu nível de cumprimento irá variar dependendo de que indústria você está, diz Mike Meikle, CEO do Grupo Hawkthorne. Organizações em áreas fortemente regulamentadas, como as de saúde ou finanças, provavelmente não estarão em plena conformidade porque as regras mudam com muita frequência, assim como as diferentes maneiras que podem ser interpretadas.
“É seguro dizer que, assim como nenhuma rede pode ser 100 por cento segura, nenhuma organização pode ter certeza que é de 100 por cento compliance”, diz ele. “Se um fornecedor está tentando vender um produto que garante o cumprimento perfeito, está mentindo.”
Outro risco é cair na armadilha de conformidade, em que as organizações gastam demasiados recursos tentando ficar em sincronia com os regulamentos, ignorando outras partes mais vitais de suas operações, diz Meikle.
“As organizações que lutam pelo cumprimento de regulamentos, muitas vezes caem em outras áreas”, diz ele. “Estar em conformidade com os regulamentos não significa necessariamente que você está fazendo o que você precisa fazer para o seu negócio. Compliance é realmente apenas um componente de gestão de risco, que é um componente de governança corporativa. É uma questão de negócios abrangente que precisa ser tratada como tal.”
5:: A nuvem não vai resolver tudo (e pode até romper algumas coisas)
Nuvens estão no horizonte das equipes de TI. De acordo com pesquisas do Gartner, mais de 40 por cento dos CIOs esperam executar a maioria das suas operações de TI na nuvem, até 2015.
Mas, mesmo a nuvem não é a solução definitiva. Confiabilidade, segurança e perda de dados continuarão a causar dores de cabeça para os departamentos de TI – eles simplesmente têm menos controle sobre o material que está na nuvem.
“A perda de dados é inevitável em qualquer organização e ainda pode acontecer na nuvem”, diz Abhik Mitra, gerente de produto do Kroll Ontrack, empresa de consultoria especializada em gestão de informações e recuperação de dados. “As empresas devem se preparar para o pior, planejando com o seu fornecedor o tempo de inatividade e de recuperação de dados, de migração e de perda catastrófica. Segurança dos dados será sempre uma preocupação, apesar dos avanços das soluções de cloud.”
A nuvem também introduz um novo problema: como as organizações podem medir com precisão os gastos com TI, especialmente porque os usuários de negócios contratam seus serviços em nuvem sem supervisão de TI. O chamado “shadow IT” pode causar dores de cabeça para empresas e departamentos de tecnologia forçando-os a valorizarem mais os serviços que prestam, diz Chris Pick, diretor de marketing da Apptio, fornecedora de soluções de tecnologia de gestão de negócios.
“Pela primeira vez, os usuários de negócios têm uma escolha entre as ofertas do departamento de TI e as que os usuários podem contratar por conta própria”, diz ele.
6:: Você nunca terá o suficiente
Os departamentos de TI muitas vezes querem o mais justo quando se trata de terceirização, mas não é provável obtê-lo, diz Meikle.
A indústria de terceirização de tecnologia é muito mais madura do que, digamos, a de terceirização de serviços de RH. A solução para os problemas de mão de obra de TI, diz Meikle, é aproveitar os terceirizados e integrar com eles, tanto quanto possível.
“Os profissionais de TI precisam entender que eles trabalham para eles mesmos primeiro, e depois para a organização”, diz ele. “Eles precisam continuar desenvolvendo sua rede de contactos e de marketing, e desenvolver uma marca pessoal, mesmo quando eles são empregados. Goste ou não, os profissionais de TI podem ter que desembolsar algum dinheiro, pessoalmente, para pagar a sua educação, lembrando que isso pode render dividendos quando a situação fica ruim.”
7:: A sua rede já foi comprometida
Todo mundo quer que as suas redes para sejam fáceis de gerenciar e de difícil violação. De acordo com a pesquisa mais recente do Computer Security Institute, 4 em cada 10 organizações experientes já sofreram com infecção por malware, ataques de bot nets, ou foram alvo de alguma tentativa de invação em 2010. Outros 10% sequer sabiam se as suas redes tinham sido violadas.
Uma abordagem mais inteligente é começar com a suposição de sua rede já foi comprometido e projetar a segurança em torno disso, diz Wade Williamson, analista sênior da ameaça a segurança da rede da empresa Palo Alto Networks.
8:: Os segredos mais profundos da sua empresa estão a apenas um tweet de distância
Seus funcionários estão usando redes sociais no trabalho, seja isso permitido ou não. O problema? De acordo com pesquisas da Panda Software, um terço das pequenas e médias empresas sucumbiram às infecções de malware distribuídas através de redes sociais, enquanto que quase um aem cada quatro organizações enfrentaram vazamentos de dados confidenciais.
“O comportamento de pessoas usando a mídia social é como o seu comportamento através de e-mail há 10 anos”, diz Rene Bonvanie, vice-presidente de marketing mundial da Palo Alto Networks. “Com o e-mail, nós aprendemos a nunca clicar em nada. Mas por dentro da mídia social, as pessoas clicam em cada URL porque confiam no remetente. É por isso que botnets controladas há cinco anos estão voltando à ativa agora, via redes sociais. É um grande risco.”
Mesmo as organizações que usam soluções de segurança para mídias sociais ou ferramentas de prevenção de perda de dados não podem impedir que os fãs do Facebook ou do Twitter vazem segredos da empresa ou outros fatos embaraçosos para o mundo, diz Sarah Carter, vice-presidente de marketing da Actiance, fabricante ferramentas de segurança Web 2.0.
“O mais importante é a educação”, diz Carter. “Educar, reeducar e educar novamente. Coloque a tecnologia de treinamento de soluções no lugar, onde você pode lembrar os usuários sobre os riscos e também sobre a política da empresa para uso de sites não são relevantes para os negócios.”
9:: Seus usuários nunca deixarão de precisar de suporte
É o sonho de qualquer departamento de TI. Se eles pudessem tirar os usuários carentes das suas costas, poderiam ter mai tempo para se dedicar a outras tarefas mais nobres. Mas apesar dos investimentos em bases de conhecimento on-line e soluções de suporte automatizado, a noção de que as organizações podem abandonar o suporte presencial é ainda a coisa de ficção científica, diz Nathan McNeill, diretor de estratégia da Bomgar, fabricante de aparelhos de suporte remoto.
“A TI pode tratar de vários problemas comuns nos ambientes de auto-suporte – como redefinições de senhas, etc – mas sempre será mais fácil o contato pessoal para lidar com as questões pontuais e mais complexas”, diz ele. “Mesmo que a tecnologia milagrosamente funcione 100 por cento do tempo, os usuários não serão capazes de descobrir o que precisam nelas 100 por cento do tempo.”
Em vez do suporte self-service, as organizações fariam melhor se investissem em soluções de assistência remota, diz Chris Stephenson, co-fundador da empresa de consultoria de gestão Arryve.
10:: Você nunca vai ter o respeito que você merece
Não importa o quanto sua equipe trabalhe e como é vital para a existência de uma empresa. Os profissionais de TI não devem esperar obter respeito fora de suas próprias fileiras.
“O que o pessoal de TI quer é ser apreciado, valorizado e entendido”, diz Steve Lowe, fundador e CEO da Innovator, desenvolvedora de software personalizado. “E isso acontece tão raramente.”
A melhor maneira de conseguir algum respeito? Conquistá-la todos os dias, diz Lowe.
“A principal coisa que os líderes de TI podem fazer para combater esses equívocos é o foco na prestação de serviços de extraordinário valor para a empresa”, diz Lowe. “Encontre um lugar onde um pouco de tecnologia terá um retorno enorme. Se você puder demonstrar que a TI faz a diferença, que torna as tarefas mais fáceis para os executivos, estará a um passo de dar à equipes de TI o respeito que merece .”
http://andrepitkowski.wordpress.com/2011/09/07/dez-verdades-que-a-ti-deve-aprender-a-aceitar/
Pequenas, idílicas e desprotegidas: Vanatu e Tonga, ilhas localizadas no Pacífico, são também os dois países mais expostos ao risco de acidentes naturais trazido pelas mudanças do clima. O dado consta no novo Relatório de Risco Mundial, um índice criado pelo Instituto de Meio Ambiente e Segurança Humana da Universidade das Nações Unidas, apresentando em Bonn nesta quarta-feira (15/06).O estudo analisou 173 países e considerou aspectos ambientais e humanos, como exposição a catástrofes naturais provocadas pelo clima e vulnerabilidade social. O índice também avaliou fatores econômicos, assim como aspectos governamentais, todos considerados decisivos para evitar que um evento natural, como terremoto ou enchente, se transforme numa catástrofe.Segundo o ranking, as Filipinas são o terceiro país com risco mais elevado. Já a ilha de Malta e o Catar aparecem como locais menos expostos ao perigo. Numa escala de cinco níveis que vai de risco “muito elevado” (grau 5) a “muito baixo” (grau 1), a situação no Brasil é tida como de pouco perigo – grau 4. Já os demais países da América Latina foram classificados como nações que oferecem risco “muito elevado” ou “elevado”.
Despreparo: terremoto matou mais de 200 mil pessoas no HaitiAspecto humanoO ranking do Relatório de Risco Mundial foi feito com base numa combinação de diferentes itens avaliados. Primeiramente, considera-se o quão expostos estão os países a uma ameaça natural: terremotos, tornados, inundações, seca e elevação do nível do mar. No quesito vulnerabilidade, entram aspectos como infraestrutura oferecida pelo país, situação das moradias, alimentação, parcela de pobreza da população e ganho salarial.A estrutura governamental, assim como o serviço médico, a organização social e o sistema de alerta contra catástrofes são itens considerados como capacidade de responder a um evento natural. Por último, a capacidade de adaptação leva em conta a dedicação à pesquisa, o nível de formação escolar dos países, proteção climática, estratégias e investimentos.“Eventos naturais extremos não precisam se tornar, necessariamente, uma catástrofe. O risco não depende apenas da ameaça natural, mas os fatores sociais e econômicos são determinantes”, comenta Peter Mucke, diretor da associação Entwickung Hilft (Desenvolvimento Ajuda), organização que trabalhou na pesquisa.Dois acontecimentos recentes ilustram bem a avaliação feita no relatório. O Japão, por exemplo, é um país bastante exposto a riscos de acidentes naturais numa comparação global – até mais que o Haiti. Abalado por um dos terremotos mais violentos da história, o país registrou 28 mil mortos, enquanto que, na ilha caribenha, o número de vítimas fatais chegou a 220 mil.“Essa diferença na dimensão dos efeitos catastróficos de tais eventos naturais revelam os diferentes tipos de vulnerabilidade dos países, que é um importante item considerado no índice”, diz o relatório. No ranking, o risco no Haiti é considerado “muito elevado” e no Japão “alto”.
Chile: terremoto de 8,8 graus provocou 562 mortesUm exemplo latinoPosicionado como o 25º país mais expostos a riscos, o Chile sofreu com o abalo sísmico de fevereiro de 2010. Apesar da magnitude de 8,8 graus na escala Richter, o terremoto tirou a vida de 562 cidadãos. Segundo o Relatório, nesse caso, a administração federal teve um papel importante na reação rápida ao evento natural devido à eficiência do setor público e à política anticorrupção do governo, considerada boa.Os autores do estudo afirmam que, desde os anos de 1960, as instituições governamentais chilenas se preocupam em melhorar o setor da construção civil. “As estruturas dos prédios mais estáveis, pelo menos nas novas construções, devem ter sido um motivo importante para que o número de mortos fosse pequeno”, conclui o texto. As tecnologias inovadoras contra catástrofes e a aplicação regular de treinamentos também são pontos ressaltados.http://andrepitkowski.wordpress.com/2011/06/18/ranking-de-risco-indica-paises-mais-expostos-a-catastrofes-naturais/
As ferramentas de avaliação de riscos e de controles são consideradas como as básicas neste assunto. Todo mundo que eu conheço, mais luta com elas do que as usa. Num congresso que participei, perguntei a alguns colegas consultores o que eles pensavam a respeito, e até mesmo o nome ou designação do que é a ferramenta foi motivo de discordia: Auto avaliação de riscos e controles, auto avaliação de controles de riscos, auto avaliação de controles… E estas avaliações podem rapidamente se tornar inúteis se alguns pré-requisitos fundamentais não forem cumpridos:
Será que “Conhecemos o negócio” do cliente na qual vamos realizar uma avaliação de riscos? muitas avaliações estão focados apenas naqueles riscos declaradamente conhecidos, bem como seus controles e suas fraquezas (“É o que eu chamo de pescar num aquário”). Estas avaliações deixam passar pontos fracos que estão menos evidentes nos processos , mas que são conectores com o(s) processo(s) seguinte(s).
Como soa para você uma avaliação de riscos que produzirá os controles a serem concebidos e implementados na empresa? estas avaliações, para serem devidamente concluídas, dependem de etapas anteriores à avaliação dos riscos e suas respectivas
respostas, incluindo considerar o ambiente da empresa, de avaliação da capacidade (plano de capacidade de ti), análise de cenários, análise de causa raiz, análise de causa e efeito, portfolio de projetos, controles internos de processos e da implementação destes controles. Se as premissas não forem consideradas de forma acertada, é provável que os controles serão erroneamente concebidos, implementados e o pior: Avaliados! e que os resultados terão pouco valor para suportar os objetivos do negocio.
Será que o ciclo do processo de avaliação acompanha a evolução do mundo real em que a empresa realiza seus negocios? se a mudança nos riscos (ambiente, processo, e/ou controles) é mais frequente do que o ciclo do processo de avaliação, a avaliação vai expressar o risco real. Por exemplo, se o seu ambiente de ti muda a cada poucos meses por conta de inclusão de uma nova tecnologia, fusão ou aquisição de uma empresa, criação de um novo negocio e outras situações de mercado ou de ti, os ciclos de teste de continuidade de negócios devem no mínimo corresponder ao ciclo do processo de avaliação de riscos – ou você será responsável por exibir uma falsa sensação de confiança.
E então? é para fazer as avaliações de controle com o foco em controles ou no conjunto de políticas, procedimentos e regras? classificar as politicas em escalas de conformidade ou até de sustentabilidade é um longo caminho no processo de análise das políticas. Um controle pode detectar um “Ponto fora da curva” mais facilmente, oferecendo melhores condições de atuação e decisão sobre esta informação.
Também ouvi durante o papo que fazer as avaliações é desviar a atenção do trato diário na gestão de riscos. Eu digo que tanto o tempo de latência como da ênfase no controle (ao invés de recursos do ambiente ou de negócios) tem a tendência de fazer com que as empresas encarem a gestão de risco apenas como uma função de garantia “Curativa”, ao invés de uma função de gestão de avaliação de riscos, que previna e corrija as causas dos riscos.
Conlcuindo, mesmo porque o coffee break acabou, é facil cair nas armadilhas apontadas aqui. Concordo que as avaliações de risco ou de controle desviam recursos de atividades mais úteis no gerenciamento de risco e criam uma falsa sensação de segurança. Estas armadilhas têm resultado em prejuízos para as empresas. Considere também, por exemplo, as violações de dados, fraudes, falhas de rede, softwares maliciosos e outros problemas que ocorreram quando os controles foram, apenas no papel, aceitáveis. Naturalmente, as avaliações e os testes devem ser aplicados com rigor adequado para produzir uma atuação significativa.
http://andrepitkowski.wordpress.com/2011/06/14/cinco-pontos-a-considerar-na-avaliacao-dos-controles/
o que é risco?
Risco: o conceito Não existe um conceito unificador para trabalhar com os problemas e alterações ambientais. Na temática ambiental são usados termos como riscos, acidentes, perigos, aleas (do inglês, hazard), desastres, etc. Sendo que muitas vezes são utilizados nomes diferentes para tratar ou designar as mesmas coisas. A palavra Risco está ligada aos termos latinos risicu e riscu, ligados por sua vez a resecare, que significa ‘corte’. Como uma ruptura na continuidade, como um risco que se faz numa tela em branco. (Monteiro, 1991, p.10)
3. O risco é uma função que conjuga diversos fatores: + natureza ou tipo de perigo, + acessibilidade ou via de contacto (potencial de exposição), + características da população exposta (receptores) + probabilidade de ocorrência + magnitude das conseqüências. Risco está presente em situações ou áreas em que existe a probabilidade, susceptibilidade, vulnerabilidade, acaso ou azar de ocorrer algum tipo de crise, ameaça, perigo, problema ou desastre.
4. Embora as definições e interpretações sejam numerosas e variadas, todos reconhecem no risco a incerteza ligada a um momento futuro, num tempo em que o risco se revelará. O ideograma Chinês para CRISE é a conjugação entre o risco ou perigo de que algo ocorra em um determinado momento específico - a crise traz uma mudança que tem um momento certo para ocorrer. Oportunidade / Risco / perigo / caos Momento de mudança CRISE (Wei – Ji)
Gestão de Risco e Controle Interno Introdução A importância da Gestão de Risco Corporativo A origem da palavra risco é controvertida. Alguns autores afirmam que ela deriva de “resecare” (cortar), empregada para descrever geografias agudas como as dos recifes que tinham o poder de afundar navios. Como a navegação sempre foi uma atividade importante para o desenvolvimento humano, era aconselhável evitar o “risco” de perder as embarcações e suas cargas. Outra possível origem é indicada por Peter Bernstein no livro Desafio aos Deuses. Segundo o autor, “risco” vem do italiano “risicare”, que significa “ousar”. No sentido de incerteza, é derivada do latim “risicu” e “riscu”. As primeiras técnicas de gestão de risco foram implantadas pelas seguradoras – justamente com as apólices para navios. No século 20, entre as décadas de 60 e 80, o setor financeiro se dedicou ao aperfeiçoamento das ferramentas de controle de risco, entusiasmados pela possibilidade de “prever” o futuro e evitar perdas previsíveis no presente. Em 1994, o JP Morgan lançou o Value at Risk (VaR), cálculo amplamente utilizado pelas instituições financeiras para medir o risco probabilístico de um portfólio de aplicações financeiras. É muito mais complexo, porém, dimensionar e avaliar riscos quando a régua não pode ser simplesmente numérica, como no caso dos bancos. Em 2002, depois de escândalos financeiros (Enron e WorldCom..), institui-se o ato Sarbanes-Oxley (Sox) têm obrigado as empresas a investir no controle de riscos. A obrigação estende a todas as empresas listadas na Bolsa de New York, inclusive as brasileiras, são obrigadas pela SOX a informar anualmente a quais riscos estão expostas e quais são as ferramentas de controle e gerenciamento utilizadas. O Acordo de Basiléia II, que também é resultante de escândalos financeiros, no Brasil, a resolução 3380 do Bacen, obriga a implementação da Gestão de Risco Operacional a todos os bancos brasileiros, com objetivo de atender o acordo. Por obrigação, ou não, o fato é que o gerenciamento de risco se difunde entre as empresas de todo o mundo. Baseado no artigo da Revista Amanhã - http://amanha.terra.com.br/edicoes/229/capa04.asp
Versão 2.0 | Rildo F Santos ([email protected]) 2009/2010 © Direitos Reservados
