claudio basso - sion p c 15999
TRANSCRIPT
• Governança
um atributo de administração dos negócios que procura criar um nível
adequado de transparência através da definição clara de
mecanismos de tomada de decisão e gestão que irão garantir a
aderência aos processos e políticas estabelecidas.
• COSO (Committee of Sponsoring
Organizations of the Treadway Commission),
• ITIL (Information Technology Infrastructure Library)
• COBIT (Control Objectives for Information
and related Technology)
• Riscos
pode ser entendido como o processo pelo qual uma empresa define
seu apetite de risco, identifica os impactos potenciais e prioriza os
limites de tolerância ao risco baseada nos objetivos de negócio.
• ISO 31000,
• ISO 27005,
• ISO 27001,
• ABNT NBR 15999 (BS 25999),
• BS 25777
• Conformidade
é o processo que estabelece meios de registro e monitoramento de
procedimentos, políticas e controles necessários para demonstrar
aderência a requerimentos legais, políticas internas ou
regulamentações setoriais.• SOX (Sarbanes Oxley)
• BASELII (Basiléia II)
• Regulamentações setoriais específicas
(Susep 380, 363, 285, 327,
344 entre outras)
ITIL
COBIT ABNT NBR 15999
ISO 27001Susep
?
• Operam de forma isolada (não conversam entre si)
• Canalizam esforços para os mesmos objetivos:
• duplicando processos e
• desperdiçando recursos.
• Dificultam a compreensão do assunto em torno de
conceito único.
Fonte: www.oceg.org
Componente
Elemento
Princípios
Fontes Comuns de Falha
Praticas
TI a ser utilizada
(Sistemas ou Infra)
Passos para Implementar a GRC
1. Definir o escopo
2. Identificar leis, regulamentações e melhores práticas a serem
atendidas
3. Identificar os frameworks necessários
4. Agregar as ações já realizadas
5. Criar o modelo de integração, colaboração e escala
Benefícios
- Identifica impactos de uma interrupção antes da sua ocorrência;
- Provê respostas efetivas;
- Melhora a capacidade de administrar riscos;
- Melhora o trabalho entre equipes;
- Incrementa a reputação;
- Cria vantagens competitivas através da capacidade demostrada
em manter a entrega.
- Sistemas de gestão compatível com outras normas disponíveis
no mercado (ISO 9001 e ISO 27001).
Norma ABNT NBR 15999 (BS 25999)
Resultados
- Identifica e protege produtos e serviços críticos;
- Ativa a capacidade de gestão de incidentes;
- Melhora a auto-compreensão da organização e
suas relações com outras organizações;
- Capacita as pessoas para responder eficazmente
ante um incidente;
- Controla a cadeia de fornecedores da organização;
- Protege a reputação da organização;
- Cumpre com obrigações legais e regulamentares.
Norma ABNT NBR 15999 (BS 25999)
Escopo e AplicaçãoABNT NBR 15999-1 Código de Prática
• Establecer processos, princípios e terminologia para GCN;
• O propósito é estabelecer uma base para o entendimento, desenvolvimento e
implementacão de continuidade de negócio dentro de uma organização e para prover
confiança em como esta se relaciona com seus clientes e outras organizações.
• A norma provê uma base para boas práticas de GCN.
ABNT NBR 15999-2 Especificações
• Especifica requisitos para planejamento, estabelecimento, implementação,
operação, monitoramento, análise, exercícios, manutenção e melhora de um
Sistema de Gestão de Continuidade de Negócios;
• Genérica e aplicável para todo tipo e porte de organização;
• Pode ser utilizada para avaliar a efetividade do sistema pela própria organização
ou por terceiras partes, incluindo organismos de certificação.
ABNT NBR 15999-2 Especificações
Requisitos
ABNT NBR 15999-1 Código de Prática
Requisitos
de Sistemas
de Gestão(ações corretivas e
preventivas,
auditoria, etc)
Práticas
não
auditáveis(sugestões,
comentários,
guias, etc)
Normas ABNT NBR 15999 - Partes 1 e 2
ABNT NBR 15999-2 EspecificaçõesABNT NBR 15999-1 Código de Prática
Modelo de Gestão
Normas ABNT NBR 15999 - Partes 1 e 2
Fonte: www.oceg.org
Fonte: www.oceg.org
Alcançar Objetivos de Negócio
Reforçar a Cultura Organizacional
Aumentar da confiança das partes interessadas
Preparar e proteger a organização
(resiliência organizacional)
Prevenir, Detectar e Reduzir Adversidades
Motivar e Inspirar Conduta desejada
Melhorar a Resposta e Eficiência
Otimizar o Valor Econômico e Social
Conclusões
• A GCN não deve ser apenas mais um Processo dentro da Cadeia de
Valor das organizações, mais sim um “Ingrediente” dos Produtos e
Serviços oferecidos ao mercado.
• A GCN somente será compreendida e eficaz quando atender às áreas
de Governança, Riscos e Conformidade, principalmente se integradas
através da GRC, e aos objetivos da estratégia organizacional.
Obrigado!