gestao risco em ti

1

Ges

tão

de R

isco

em

TI

Versão 2.0 | Rildo F Santos ([email protected]) 2006 © Direitos ReservadosRildo F Santos ([email protected])

2

Ges

tão

de R

isco

em

TI

Versão 2.0 | Rildo F Santos ([email protected]) 2006 © Direitos Reservados

IntroduçãoGestão de Risco de TIAs melhores práticas em Gestão de Risco de TI

Com passar do tempo muitas empresas se tornaram dependentes de seus sistemas de informação. A área de TI fornece suporte as operações destas empresas, fazendo parte da estratégia de negócio ou como uma vantagem competitiva.Para estas empresas, o ambiente de TI não pode ficar instável ou vulnerável, pois isto traria risco a sua operação.Muitos negócios seriam perdidos e muitos clientes ficaram insatisfeitos, isto acarretaria um enorme prejuízo para a empresa.

O último relatório sobre a Gestão de Risco de TI - The Economist, - Assimilando os riscos da Tecnologia da Informação (Coming to grips with IT risk), conclui que as maioria das grandes empresas não gerência eficientemente os riscos associados à TI. Este relatório foi elaborado com base em pesquisa realizada com 145 altos executivos de corporações ao redor do mundo.

Se você precisa proteger os ativos de TI, seja para tornar o ambiente de TI mais estável e menos vulnerável, mais eficiente, ou para manter a conformidade com lei ou regulamentações (ANS, Susep ou Bacen), este curso abordará a Gestão de Risco de TI, de forma objetivo e clara com a finalidade dar orientação de como utilizar as melhores práticas, frameworks (COSO) e guias de gestão para mitigar o risco operacional de TI.

3

Ges

tão

de R

isco

em

TI


Conteúdo

1 IntroduçãoMotivadores da “onda” de Gestão de RiscoGovernança CorporativaGovernança de TIEvolução (da Gestão de Segurança da Informaçãopara Gestão de Risco)Principais Guias, Normas e Frameworks

2 Visão geral sobre Risco- Definição- Natureza do Risco- Componentes

3 Gestão de Risco de TI:- Identificando os riscos - Analisando de Severidade do Risco (Impacto vsProbabilidade)- Respostas ao Risco- Monitoramento

4 As Melhores Práticas (Guias, Normas e Frameworks)- Gestão de Risco Operacional: COSO- Governança de TI & Gestão Estratégica de TI: COBIT- Gestão de Serviços de TI: ITIL- Gestão de Segurança da Informação: ISO 17799- Desenvolvimento de Software: Práticas PMBok e Processo Unificado-Gestão de Fornecedores: e-SCM.

5 Controle Internos:- Definição- Compliance com regulamentação- Controle Eficientes- Auditoria Interna

6 Estudo de Caso

Elaboração de Estratégia de Gestão de Risco em Ambiente de TI

4 As Melhores Práticas (Guias, Normas e Frameworks)- Gestão de Risco Operacional: COSO- Governança de TI & Gestão Estratégica de TI: COBIT- Gestão de Serviços de TI: ITIL- Gestão de Segurança da Informação: ISO 17799- Desenvolvimento de Software: Práticas PMBok e Processo Unificado-Gestão de Fornecedores: e-SCM.


6 Estudo de Caso

Elaboração de Estratégia de Gestão de Risco em Ambiente de TI

4

Ges

tão

de R

isco

em

TI


IntroduçãoOrigem da palavra:

A origem da palavra risco é controvertida. Alguns autores afirmam que ela deriva de “resecare” (cortar), empregada para descrever geografias agudas como as dos recifes que tinham o poder de afundar navios. Como a navegação sempre foi uma atividade importante para o desenvolvimento humano, era aconselhável evitar o “risco” de perder as embarcações e suas cargas. Outra possível origem é indicada por Peter Bernstein no livro Desafio aos Deuses. Segundo o autor, “risco” vem do italiano “risicare”, que significa “ousar”. No sentido de incerteza, é derivada do latim “risicu” e “riscu”.

As primeiras técnicas de gestão de risco foram implantadas pelas seguradoras – justamente com as apólices para navios. No século 20, entre as décadas de 60 e 80, o setor financeiro se dedicou ao aperfeiçoamento das ferramentas de controle de risco, entusiasmados pela possibilidade de “prever” o futuro e evitar perdas previsíveis no presente. Em 1994, o JP Morgan lançou o Value at Risk (VaR), cálculo amplamente utilizado pelas instituições financeiras para medir o risco probabilístico de um portfólio de aplicações financeiras. É muito mais complexo, porém, dimensionar e avaliar riscos quando a régua não pode ser simplesmente numérica, como no caso dos bancos.

Em 2002, depois de escândalos financeiros (Enron e WorldCom..), institui-se o ato Sarbanes-Oxley (Sox) têm obrigado as empresas a investir no controle de riscos. A obrigação estende a todas as empresas listadas na Bolsa de New York, inclusive as brasileiras, são obrigadas pela Sox a informar anualmente a quais riscos estão expostas e quais são as ferramentas de controle e gerenciamento utilizadas.O Acordo de Basiléia II, que também é resultante de escândalos financeiros, no Brasil -resolução 3380 do Bacen, obriga a implementação da Gestão de Risco Operacional a todos os bancos brasileiros, com objetivo de atender o acordo.

Por obrigação, ou não, o fato é que o gerenciamento de risco se difunde entre as empresas de todo o mundo.

Baseado no artigo da Revista Amanhã - http://amanha.terra.com.br/edicoes/229/capa04.asp

5

Ges

tão

de R

isco

em

TI


Eu não me preocupo com as coisas que sei que não sei. Eu sóme preocupo com as coisas que não sei que não sei. Porque ascoisas que sei que não, é fácil – é só procurar que vou saber. Porém, as coisas que não sei que sei, não tenho nem por ondecomeçar!

(Einstein , circa 1940)

Motivadores da “onda” de Gestão de RiscoGovernança CorporativaGovernança de TIEvolução (da Gestão de Segurança da Informaçãopara Gestão de Risco)Principais Guias, Normas e FrameworksNova visão

6

Ges

tão

de R

isco

em

TI


IntroduçãoPrincipais motivadores da Gestão de Risco> Gestão da Segurança da Informação > Controle Interno

Gestão de Risco

Fraudes Contábeis e Financeiras

Ataque deHackers, Span,

Virus..

Aumentar EficiênciaOperacional

Estratégia doNegócio

Requisitos legais eregulatórios

EscândalosFinanceiros

SOX Basel II

1975 – quebra dos bancos Herstatt, da Alemanha e Franklin National, de Nova York. > 1975 - Comitê da Basiléia

1993 – Bank of Credit and CommerceInternational faliu em meio a escândalos de fraude e lavagem de dinheiro1995 – Barings faliu depois de 233 anos de existência> 1997 – Comitê Basiléia edita os 25 Princípios – Instituição de Controles Internos

1995-98 – Askin Capital, Orange County, Chemical Bank entre outros> 1998 – Comitê Basiléia edita mais 13 Princípios – Gestão de Riscos (5 componentes)> 1998 – Res.Bacen 2.554– Controles Internos > 2001 – Novo Acordo da Basiléia

2001 – Enron – 7a. Maior empresa dos EUA, gigante americana do setor de energia, pediu concordata em dezembro de 2001, após ter sido alvo de uma série denúncias de fraudes contábeis e fiscais. Com uma dívida de US$ 13 bilhões, o grupo arrastou consigo a Arthur Andersen, que fazia a sua auditoria.2001 – WorldCom. A fraude ocorreu porque a empresa registrou como investimentos (ativo em seu balanço patrimonial) o que era despesa (demonstrativo de resultados), distorcendo totalmente os dados de suas contas.Em 30 julho de 2002, George W. Bushassinou de “O Ato Sarbanes-Oxley”, com objetivo de garantir a integridade das informações financeiras (dar proteção aos investidores)

Segurança da Informação

7

Ges

tão

de R

isco

em

TI


Governança Corporativa, definição:

GovernançaCorporativaLeis

Regulamentos

Normas

Controles

Transparência

Equidade

Prestação de Conta

Compliance2

Ética

Notas: 1 - Fonte: Instituto Brasileiro de Governança Corporativa (www.ibgc.org.br) | 2 - Cumprimento das Leis

Exigências:“Você pagaria a mais pelas ações de quem adota práticas de governança ?- 76% disseram que sim e destas a maioria afirmou que pagaria 24% a mais pelas ações.”

Fonte: McKinsey com empresas da América Latina

“Você pagaria a mais pelas ações de quem adota práticas de governança ?- 76% disseram que sim e destas a maioria afirmou que pagaria 24% a mais pelas ações.”

Fonte: McKinsey com empresas da América Latina

Governança Corporativa é o sistema pelo qual as sociedades são dirigidas e monitoradas, envolvendo os relacionamentos entre Acionistas/Cotistas, Conselho de Administração, Diretoria, Auditoria Independente e Conselho Fiscal. As boas práticas de governançacorporativa têm a finalidade de aumentar o valor da sociedade, facilitar seu acesso ao capital e contribuir para a sua perenidade1.

Benefícios:

Transparência = Credibilidade

8

Ges

tão

de R

isco

em

TI


Modelo de Governança

“A transição para o capitalismo sustentável será uma das mais complexas revoluções que a nossa espécie já vivenciou. Estamos embarcando em uma revolução cultural global, que tem como epicentro a sustentabilidade. Ela tem a ver com valores, mercados, transparência, ciclos de vida de tecnologias e produtos e tensões entre o longo e o curto prazo. E as empresas, mais que governos ou outras organizações, estarão no comando destas revoluções. Um comando que se exercerá pelos princípios da governança corporativa.” - John Elkington

Fonte: Governança Corporativa – Fundamentos, Desenvolvimento e Tendências – Adriana Andrade e José Paschoal

OperaçõesOperações

Governança de Negócio

Direcionadores Estratégicos

EspontâneaCompulsória

Governança de Compliance

Gestão de Risco e Controles Internos

N2Basel IISOX N1

Bovespa/CVM

Governança Corporativa

BACENNYSE

Resultado & Desempenho

Planejamento Estratégico (BSC) AgênciasReguladoras

9

Ges

tão

de R

isco

em

TI


Segundo IT Governance Institute (www.itgi.org), a definição da Governança de TI:

“É uma estrutura de relacionamentos e processos para dirigir e controlar a organização para atingir os objetivos corporativos, adicionando valor, ao mesmo tempo que equilibra os riscos em relação ao retorno da TI e seus processos“

GovernançaCorporativaLeis

Regulamentos

Normas

Controles

TransparênciaEquidade

Prestação de ContaCompliance

Ética

Exigências

Governançade TI

CobitITILBSCPMBok

Guias

www.itgovernance.org

COBIT - Control Objectives for Information and Related Technology – www.isaca.org

Governança de TI

Guia: COSO

10

Ges

tão

de R

isco

em

TI


Modelo de Governança Corporativa e Governança de TI:

SegurançaISO 27001

OutSourcinge-SCM/SAS70

Fábrica SWCMMi/RUP

ProjetosPMI/PMBok

COBIT

Serviços de TIITIL/ISO 20k

Governança de TI

Melhores Práticas,Padrões, Normas e Área de Conhecimento

Governança de Negócio

Direcionadores Estratégicos

EspontâneaCompulsória

Governança de Compliance

Gestão de Risco e Controles Internos

N2Basel IISOX N1

Bovespa/CVM


BACENNYSE

Resultado & Desempenho

Planejamento Estratégico (BSC) AgênciasReguladoras

11

Ges

tão

de R

isco

em

TI


Modelo de Governança

Governança de TI

Arquitetura de TI

Recursos

Requisitos do Negócio Leis e Regulamentações

Risco & Compliance

Qualidade

Processos e Projetos

Segu

ranç

a da

Info

rmaç

ão

Serv

iços

de

TI

Fábr

ica

de

de S

oftw

are

Forn

eced

ores

Ges

tão

Estr

atég

ica

de T

IPMBok/PMI

BSC-TI ITIL /ISO20000 CMMi ISO17799/

ISO27001SAS70 /e-SCM

Cobit

COSO

ISO9001 /Seis Sigma

Governança doNegócios

Governança deConformidade


TI - Melhores PráticasPadrões e Frameworks

Melhores PráticasPadrões e Frameworks

BSC COSO

Modelo de Governança (Corporativa e TI):

12

Ges

tão

de R

isco

em

TI


Objetivos:

- Simplificar/Democratizar as decisões de TI

- Simplificar as operações e/ou serviços de TI

- Melhorar o nível de qualidade dos serviços de TI

- Estabelecer e manter relacionamento com clientes e fornecedores

- Maximizar uso de recursos

- Otimizar custos

- Gestão de Riscos (Identificar, analisar e mitigar)

- Estabelecer e manter a conformidade com as leis e regulamentos

- Promover a integração entre o Negócio e a TI

- Gerar valor para empresa

Governança de TI:

13

Ges

tão

de R

isco

em

TI


Introdução

Gestão da Segurança da Informação Controle Internos

Confidencialidade

Integridade

Disponibilidade

Gestão de Risco de TI

Processos

Evidências

Guia de Auditoria

Gestão de Risco Corporativo (ERM)

ISO 17799 /ISO 27001 Cobit, ITIL, ISO 17799...

COSO

COBIT

Mudança de VisãoOntem: Gestão de Segurança da Informação

Hoje: Gestão de Risco (Segurança da Informação + Controle Interno)

GovernançaCorporativa

Governançade TI

14

Ges

tão

de R

isco

em

TI


IntroduçãoVisão geral sobre Risco- Definição- Natureza do Risco- Componentes

"O sábio antevê o perigo e protegê-se, mas os imprudentes passam e sofrem as conseqüências." Provérbio 22:3

15

Ges

tão

de R

isco

em

TI


Gestão de Riscos

Introdução

Não Identificaçãodo Risco

Ocorrênciado evento

Materializaçãodo Risco

Exposiçãoao Risco

Identificaçãodo Risco

Análise/Avaliaçãodo Risco

Respostaao Risco

RiscoMitigado

16

Ges

tão

de R

isco

em

TI


Definição de Risco:Risco é qualquer evento que pode afetar a habilidade de empresa a alcançar seus objetivos.

Abrangendo (agentes de riscos):Perigo: Coisas ruins que acontecemIncerteza: Coisas que não ocorrem como esperadoOportunidade: Coisas boas que acontecem

Definição segundo ISO/IEC Guide 73: O risco pode ser definido como a combinação da probabilidade de um acontecimento e das suas conseqüências.

Gestão de Risco

Evento: Riscos e OportunidadesOs eventos podem gerar impacto tanto negativo quanto positivo ou ambos. Os que geram impacto negativo representam riscos que podem impedir a criação de valor ou mesmo destruir o valor existente. Os de impacto positivo podem contrabalançar os de impacto negativo ou podem representar oportunidades, que por sua vez representam a possibilidade de um evento ocorrer e influenciar favoravelmente a realização dos objetivos, apoiando a criação ou a preservação de valor. A direção da organização canaliza as oportunidades para seus processos de elaboração de estratégias ou objetivos, formulando planos que visam ao aproveitamento destes.

Infra-estrutura:Disponibilidade de bensCapacidade dos bensAcesso ao capitalComplexidadePessoal:Capacidade dos empregadosAtividade fraudulentaSaúde e segurançaProcesso:CapacidadeDesignExecuçãoDependências / fornecedores

Tecnologia:Integridade de dadosDisponibilidade de dados Disponibilidade de sistemasSeleção de sistemasDesenvolvimentoAlocaçãoManutenção

Even

tos

Inte

rnos

Econômicos:Disponibilidade de capitalEmissões de crédito, inadimplênciaConcentraçãoLiquidezMercados financeirosDesempregoConcorrênciaFusões / aquisiçõesMeio Ambiente:Emissões e dejetosEnergiaDesastres naturaisDesenvolvimento sustentável

Políticos:Mudanças de governoLegislaçãoPolítica públicaRegulamentosSociais:Características demográficasComportamento do consumidorPrivacidadeTerrorismoTecnológicos:InterrupçõesComércio eletrônicoDados externosTecnologias emergentes

Even

tos

Exte

rnos

Categorias dos Eventos:

17

Ges

tão

de R

isco

em

TI


Natureza do Risco:

Gestão de Risco

Risco de Legal/Compliance2: Risco decorrente da ausência de cumprimento às leis, regulamentações e normas emitidas por órgãos reguladores ou políticas corporativas.

Risco de Crédito1: Que uma das partes não honre seus compromissos financeiros

Risco de Mercado: Relacionado ao retorno esperado de ativos e passivos, em decorrência de variações em fatores como taxas de juros, de câmbio, índices de inflação e cotação de ações.

Risco Operacional: Relacionado à manifestação de eventos que ocasionem a interrupção dos negócios, erros, falhas, fraudes e omissões com impacto para os clientes e instituições.

Risco de Subscrição: Risco oriundo de uma situação econômica adversa que contraria tanto as expectativas da sociedade seguradora no momento da elaboração de sua política de subscrição quanto as incertezas existentes na estimação das provisões.

Risco Aturial: Relaciona-se às incertezas existentes tanto na definição da tábua biométrica e da taxa de juros, quanto na constituição das provisões técnicas (situação econômica adversa diferente da expectativa da entidade

2 – Conformidade com leis e regulamentações

1 - O tema "risco operacional" evoluiu consideravelmente nos últimos cinco anos. O termo "risco operacional" foi provavelmente mencionado pela primeira vez depois do caso de falência do Barings. Foi a partir daí que o mercado financeiro se conscientizou de que esses riscos, atéentão ignorados, tinham o potencial de afetar consideravelmente os resultados das operações e não podiam ser classificados como riscos de mercado nem riscos de crédito

18

Ges

tão

de R

isco

em

TI


Identificação

Avaliação/Análise

RiscosRiscos

Contramedidas(Countermeasures) Resposta ao Risco

Monitoramento

Gestão de Risco

Comunicação

Valor dos Ativos(Assets)


Ameaças(Threats)Ameaças(Threats)

Vulnerabilidades(Vulnerabilities)


Gestão de Risco é um processo sistemático que tem como objetivo identificação, avaliação / analise, resposta (ação), comunicação e monitoramento de riscos.

19

Ges

tão

de R

isco

em

TI


A premissa inerente a gestão de riscos corporativos é que toda organização existe para gerar valor às partes interessadas. Todas as organizações enfrentam incertezas, e o desafio de seus administradores é determinar até que ponto aceitar essa incerteza, assim como definir como essa incerteza pode interferir no esforço para gerar valor às partes interessadas. Incertezas representam riscos e oportunidades, com potencial para destruir ou agregar valor. A gestão de riscos corporativos possibilita aos administradores tratar com eficácia as incertezas, bem como os riscos e as oportunidades a elas associadas, a fim de melhorar a capacidade de gerar valor.O valor é maximizado quando a organização estabelece estratégias e objetivos para alcançar o equilíbrio ideal entre as metas de crescimento e de retorno de investimentos e os riscos aelas associados, e para explorar os seus recursos com eficácia e eficiência na busca dos objetivos da organização. O gerenciamento de riscos corporativos tem por finalidade:

Gestão de Riscos CorporativosA ERM (Enterprise Risk Management) Gestão de Risco Corporativos é um processo conduzido em uma organização pelo Conselho de Administração(CA), diretoria e demais empregados, aplicado no estabelecimento de estratégias, formuladas para identificar em toda a organização eventos em potencial, capazes de afetá-la, e administrar os riscos de modo a mantê-los compatível com o apetite a risco da organização e possibilitar garantia razoável do cumprimento dos seus objetivos.

Componentes

20

Ges

tão

de R

isco

em

TI


Gestão de Riscos CorporativosAlinhar o apetite a risco com a estratégia adotada – os administradores avaliam o apetite a risco da organização ao analisar as estratégias, definindo os objetivos a elas relacionados e desenvolvendo mecanismos para gerenciar esses riscos.

Fortalecer as decisões em resposta aos riscos – o gerenciamento de riscos corporativos possibilita o rigor na identificação e na seleção de alternativas de respostas aos riscos – como evitar, reduzir, compartilhar e aceitar os riscos.

Reduzir as surpresas e prejuízos operacionais – as organizações adquirem melhor capacidade para identificar eventos em potencial e estabelecer respostas a estes, reduzindo surpresas e custos ou prejuízos associados.

Identificar e administrar riscos múltiplos e entre empreendimentos –toda organização enfrenta uma gama de riscos que podem afetar diferentes áreas da organização. A gestão de riscos corporativos possibilita uma resposta eficaz a impactos inter-relacionados e, também,respostas integradas aos diversos riscos.

Aproveitar oportunidades – pelo fato de considerar todos os eventos em potencial, a organização posiciona-se para identificar eaproveitar as oportunidades de forma proativa.

Otimizar o capital – a obtenção de informações adequadas a respeito de riscos possibilita à administração conduzir uma avaliação eficaz das necessidades de capital como um todo e aprimorar a alocação desse capital.

Componentes

21

Ges

tão

de R

isco

em

TI


> Vantagem Competitiva

Motivação: Gestão de Risco

> Aumentar a satisfaçãodo cliente

> Aumentar a eficiênciaoperacional

> Redução de Custos

> Controle de recursos(prevenção a perdas)

> Requisitos legal e/oude regulamentação

22

Ges

tão

de R

isco

em

TI


Integração e Comunicação:

Processos:Gestão porProcessos

Pessoas:Capacitaçãoe Motivação

Produtos:Uso de ferramentasde produtividade

A Integração das Pessoas, dos Processos e dos Produtos(Tecnologias & ferramentas) e bom Plano de Comunicação aumentam a chance de sucesso da Gestão de Risco.

Fatores Críticos de Sucesso:

23

Ges

tão

de R

isco

em

TI


Gestão de Risco de TI:- Identificando os riscos - Analisando de Severidade do Risco (Impacto vs Probabilidade)- Respostas ao Risco- Monitoramento

"A vida é ou uma aventura audaciosa, ou não é nada. A segurança é geralmente uma superstição. Ela não existe na natureza."Helen Keller

24

Ges

tão

de R

isco

em

TI


Gestão de Risco de TI

Erros & FalhasVírus

Áreas de Risco de TI – Soluções:

Gestão de Segurança da Informação:- Segurança Física e Lógica- Gerenciamento de Identidade- Plano de Continuidade de Serviços de TI

- GRC (Governance, Risk and Compliance)

- Gestão de Projetos (Desenvolvimento de Software)

- Gestão de Fornecedores / Outsourcing

Sistemas

25

Ges

tão

de R

isco

em

TI


Modelo de Governança de TI:

Governança de TI

Arquitetura de TI

Recursos (Pessoas, Informação, Infra-estrutura, Aplicações)

Requisitos do Negócio Leis e Regulamentações

Qualidade

Gestão deProjetos

Serv

iços

de

TI

Fábr

ica

de

de S

oftw

are

Forn

eced

ores

Ges

tão

Estr

atég

ica

de T

IBPM

Cobit

ISO9001 /Seis Sigma

Governança doNegócios

Governança deConformidade


BSC COSO

Modelo de Governança de TI (Foco na Gestão de Risco):

Segurança da InformaçãoISO17799/ ISO27001Gestão por

Processos

PMBok/PMI

BSC-TI ITIL /ISO20000 CMMi SAS70 /

e-SCM

26

Ges

tão

de R

isco

em

TI


Gestão de Risco

Identificação

Avaliação/Análise

RiscosRiscos

Contramedidas(Countermeasures) Resposta ao Risco

Monitoramento

Comunicação



Ameaças(Threats)Ameaças(Threats)



Gestão de Risco é um processo sistemático que tem como objetivo identificação, avaliação / analise, resposta (ação) comunicação, monitoramento de riscos.

27

Ges

tão

de R

isco

em

TI


Impacto & Probabilidade:

2-MédioMultas e Penalidades

1-BaixoAdvertência/Notificação

1-BaixoAtraso o processo de tomada de decisão

2-MédioPerda de ativos

3-AltoInterrupção nas operações

3-AltoDanos a reputação e a imagem da empresa

3-AltoDanos e/ou perda do valor da marca

3-AltoImpacto Financeiro

NívelImpacto

1-BaixoBaixa

2-MédioMédia

3-AltoAlta

NívelProbabilidade

> Qual é impacto nos negócios ?

> Qual é a probabilidade de ocorrer o evento ?

28

Ges

tão

de R

isco

em

TI


Probabilidade:

A teoria da probabilidade permite que se calcule a chance de ocorrência de um número em um experimento aleatório.

Conceito de probabilidade:Se em um fenômeno aleatório as possibilidades são igualmente prováveis, então a probabilidade de ocorrer um evento A é:

O acaso:“É provável que o meu tipo ganhe a partida de hoje”, pode resultar:a) Que apesar do favoritismo, perca;b) que, como pensamos, ganhe;c) que empate.

Exemplo:

No lançamento de um dado, um número par pode ocorrer de 3 maneiras diferentes dentre 6 igualmente prováveis, portanto, P = 3/6 50%

29

Ges

tão

de R

isco

em

TI


Impacto x Probabilidade (Severidade do Risco)

Controlar

Compartilhar / Transferir Evitar, Mitigar & Controlar

Aceitar

Baixo

Alto

IMPACTO

Probabilidade Alto

Gestão de Risco

30

Ges

tão

de R

isco

em

TI


Mapa de Risco:

Controlar

Compartilhar / Transferir Evitar, Mitigar & Controlar

Aceitar

Baixo

Alto

IMPACTO

ProbabilidadeAlto

Gestão de Risco

A1

A1

A4A2

C1

A3

C2

B1

B1

B2

0 2 3

2

3

31

Ges

tão

de R

isco

em

TI


Guias, Padrões, Normas, Metodologia e Frameworks- Gestão de Risco Operacional: COSO- Governança de TI & Gestão Estratégica de TI: COBIT- Gestão de Serviços de TI: ITIL- Gestão de Segurança da Informação: ISO 17799- Desenvolvimento de Software: Práticas PMBok e Processo Unificado- Gestão de Fornecedores: e-SCM.

Ernest Hemingway

"Não confunda movimento com ação."

32

Ges

tão

de R

isco

em

TI


CobitCobit

A Evolução do Cobit: A Governança

Modelo de Governança de TI

Principais características do Cobit:- Orientado a Negócio- Orientado a Processos

- Baseado em Controles- Dirigido pelas mensurações

Control Objectives for Information and related TechnologyControl Objectives for Information and related Technology

Cobit é um framework (guia) que tem um conjunto de componentes que representam as melhores praticas para Governança de TI, Controle, Auditoria de TI e Compliance com regulamentação (SOX).

33

Ges

tão

de R

isco

em

TI


CobitCobitAplicação

CobitCobit

Governança de TI

Compliance SOX

Controle Cobit fornece um framework de controle que contribui para:- Oferecendo um link entre o negócio e TI- Organizando as atividades em processos- Identificando os recursos de TI- Definindo o gerenciamento dos objetivos decontrole

Cobit tem suporte a Governança de TI e fornece um framework que garante:- Alinhamento de TI com negócios- Maximização os benefícios de TI- Uso adequado dos recursos de TI - Gerenciamento de Riscos de TI

IT Control Objectives fo SOXFornece um guia de como garantir aconformidade (compliance) para áreade TI baseado nos Objetivos de Controle

Auditoria de TI IT Assurance GuideFornece uma abordagem de auditoria e um guia que dá suporte a auditoria dos processos Cobit

Comparaçõese Atualizações Cobit On-line (Benchmarking)


Implantação PME1

1 – Pequenas e Médias Empresas

Cobit Quick Start

Metodologia deImplantação

Implementaion Guideline

34

Ges

tão

de R

isco

em

TI


Modelo de Governança de TI:

Alinhamento Estratégico Entrega de Valor

Gerenciamento de Recursos

Gerenciamento de RiscoMedição de Performance

Garantia da ligação entre o negócio e planos de TI, manutenção e validação da proposição de valor da TI, Alinhada com as operações da empresa

Execução da Proposição de valor através doTempo, assegurando que TI entregue os benefícios prometidos de acordo com estratégia,concentrando-se em otimizar custos e em comprovar o valor intrínseco de TI

Conhecimento dos riscos, entendimento claro dos requisitos de compliance e das tendências da empresa para os riscos, transparência acerca dos riscos significantes para empresa e incorporação de responsabilidade para o gerenciamento dos riscos

Otimização do investimentos e da gestão adequada de recursos (aplicações, pessoas, informações e infra-estrutura), essenciais para prover os subsídios de que a empresa necessita para cumprir os seus objetivos

Acompanhamento e monitoramento da implantação da estratégia, do andamento dos projetos, da utilização de recursos, do desempenho dos processos e da entrega dos serviços, utilizando medições, indicadores de desempenho.

CobitCobit Control Objectives for Information and related TechnologyControl Objectives for Information and related Technology

35

Ges

tão

de R

isco

em

TI


Cobit – Detalhes do Framework

InformaçãoInformação

Planejar eOrganizar

Monitorar eAvaliar

Entregar e Suporte

Recursos de TIAplicaçõesInformaçãoInfra-estruturaPessoas

Adquirir eImplementar

EficiênciaEficáciaConfidencialidadeIntegridadeDisponibilidadeConformidadeConfiabilidade

4 - Domínios

7- Critérios daInformação

4- Recursos

Objetivos de negócios e Objetivos de Governança de TI


36

Ges

tão

de R

isco

em

TI


Entendendo o Cobit:Todos os componentes são inter-relacionados fornecendo suporte a Governança de TI, Gerenciamento de Serviços , Controle e Auditoria.

Processos de TI

Processos de TI

Objetivos deControle

Objetivos deControle

Práticas deControle

Práticas deControle

Controlados por

Implementadospor

Requisitos

KPIKPI

KGIKGI

ModeloMaturidade

ModeloMaturidade

mensurado por

Nível deMaturidade

Indicador dePerformance

Indicador deResultados

Metas das AtividadesMetas das Atividades

Guia deAuditoriaGuia de

Auditoria

Traduzindoem

NegócioNegócio

AuditadoporR

ealiz

ado

com

ef

icác

ia e

efic

iênc

ia


37

Ges

tão

de R

isco

em

TI


CobitCobitCobit – Detalhes do Framework

Planejamento e Organização (PO)P01 - Definição plano estratégico TIP02 - Definição arquitetura de informaçãoP03 - Determinação do direcionamento

tecnológicoP04 - Definição da organização de TI e

relacionamentosP05 - Gerenciamento do Investimento de TIP06 - Comunicação de objetivos e direcionamentoP07 - Gerenciamento de recursos humanos de TIP08 - Gerenciar QualidadeP09 - Avaliar e Gerenciar riscos de TIP10 - Gerenciamento de Projetos

4 - Domínios e 34 - Processos :

Adquisição e Implementação (AI)AI01 – Identificar soluções automatizadasAI02 - Aquisição e manutenção de sistemas

aplicativosAI03 – Aquisição e manutenção de tecnologia

de infra-estruturaAI04 – Habilitar a operação e usoAI05 – Obter recursos de TIAI06 – Gerenciar mudançasAI07 – Instalação, homologação de soluções e mudanças


Entrega e Suporte (DS)DS01 – Definição de níveis de serviçoDS02 - Gerenciamento de serviços de terceirosDS03 – Gerenciamento de performance ecapacidadeDS04 – Assegurar a continuidade dos serviçosDS05 – Assegurar a segurança dos sistemasDS06 – Identificar e alocar custosDS07 - Educar e treinar usuáriosDS08 – Gerenciar Service Desk e incidentesDS09 – Gerenciar configuraçõesDS10 - Gerenciar problemasDS11 – Gerenciar dadosDS12 – Gerenciar ambiente físicoDS13 – Gerenciar operações

Monitoramento e Avaliação (ME)ME01 – Monitorar e avaliar o desempenho de TIME02 – Monitorar e avaliar os controles internosME03 – Assegurar a (compliance) com as

regulamentaçõesME04 – Prover Governança de TI

38

Ges

tão

de R

isco

em

TI



Critérios da Informação:Para satisfazer os objetivos de negócios as informações devem estar em conformidade com os seguintes critérios:

Qualidade:Effectiveness (Eficácia) – A informação deve ser relevante e pertinente aos processos de negócios bem como ser entregue com temporalidade, corretude, consistência eusabilidade.Efficiency (Eficiência) – Informação deve ser fornecida com o uso de recursos da forma mais produtiva e econômica

Requisitos deNegócios

Requisitos deGovernança

Serviços deInformação

Critério daInformaçãoCritério daInformação

requer influência

implica

Metas de Negócios para TI

Processosde TI

Processosde TI

Informação

Aplicações

Pessoas

entrega

executa

necessita

Arquitetura de TI

QoS

Infraestruturanecessita


39

Ges

tão

de R

isco

em

TI



Segurança:Confidentiality (Confidencialidade) – A informação suscetível deve ser protegida de acesso não autorizadoIntegrity (Integridade) – Informação deve ser precisa e completa, bem como sua validadedeve estar em concordância com o conjunto de valores e expectativas do negócioAvailability (Disponibilidade) – Informação deve ser disponível quando requerida pelo processo de negócio agora e no futuro, e deste modo deve ser salvaguardada enquantoRecurso

Fiduciário:• Compliance (Conformidade) – Informação deve estar em conformidade com leis, regulamentos, e arranjos contratuais dos quais os processos de negócios estão sujeitos• Reliability (Confiabilidade) - Informação deve ser provida de forma apropriada,permitindo seu uso na operação da organização, na publicação de relatóriosfinanceiros para seus usuários e órgãos fiscalizadores, conforme leis e regulamentos

Critérios da Informação:Para satisfazer os objetivos de negócios as informações devem estar em conformidade com os seguintes critérios:


40

Ges

tão

de R

isco

em

TI



Recursos:Para atender os requisitos de negócio, a empresa deve ter recursos suficientes e capacitados.

Recursos Descrição

PessoaAs pessoas requeridas para planejar, organizar, adquirir, entregar, dá suporte e monitor os aplicativos, processos e serviços de TI. As pessoas podem ser funcionários ou terceirizadas

Aplicativos São os procedimentos manuais e os automatizados.

Infra-estrutura(instalações)

É a tecnologia e facilidades com Hardware, software (Sistema Operacional, Banco de Dados, Linguagens, Compiladores, redes)

Informação Informação são os dados em todas as formas (entradas, processados e saída) pelas aplicações (sistemas de informação)


41

Ges

tão

de R

isco

em

TI


Cobit – Detalhes do FrameworkModelo de Maturidade:

O modelo de maturidade é uma forma de medir quão bem estão desenvolvidos os processos. O desenvolvimento dos processos, dependem das necessidades do negócio.

Legenda:

O - Inexistente: Gerenciamento de processos não são aplicados1 - Inicial: Processos são informais e desorganizados2 - Repetitivo – Os processos são intuitivo e seguem um padrão3 – Definido - Os processos são formais, documentados e comunicados e aplicados4 - Gerenciado – Processos são monitorados e medidos5 - Otimizado – Melhores práticas são seguidas e os processos são automatizadasÉ aplicado o ciclo de melhoria continua.

44

Tempo

Nív

el d

e M

atur

idad

e

Não existe

Inicial(caótico)

Repetitivo(reativo)

Definido(pro-ativo)

Otimizado(valor)

Gerenciado(serviço)

Valor

< pior Melhor >


42

Ges

tão

de R

isco

em

TI


O Cubo Cobit 3D

Recursos

Requisitos de Negócio

Pro

cess

os d

e TI

Recursos de TI são gerenciados pelos processos de TI para alcançar as metas de TI que responde aos requisitos de negócios. Este é principio básico do Framework Cobit.


43

Ges

tão

de R

isco

em

TI


Planejamento e OrganizaçãoP09 - Avaliar e Gerenciar riscos de TI PO9


Descrição do Processo:Uma framework (estrutura) da gerência de risco é criada e mantida. A framework documenta um comum nível acordado de Risco de TI, Estratégias do mitigação e Riscos Residuais. Todo o impacto potencial nos objetivos da organização causada por um evento não planejado éidentificado, analisado e avaliado. As estratégias do mitigação do risco são adotadas para minimizar o risco residual a um nível aceitável. O resultado da avaliação é compreensível às partes interessadas e é expressada em termos financeiros, para permitir que as partes interessadas (stakeholders) de alinhe o risco ao nível aceitável de tolerância.

Critérios deInformaçãoCritérios deInformação

Processos TIProcessos TI

Secundário:Eficácia eEficiência ConformidadeConfiabilidade

Primário:ConfidencialidadeIntegridadeDisponibilidade

Áreas da Governança de TI Recursos Critérios de Informação

44

Ges

tão

de R

isco

em

TI




Descrição do Processo:

Controle sobre o processo de TI:Avaliar e Gerenciar os Risco de TIQue satisfaz os requisitos de negócio para TI de:Analisando e comunicando os risco de TI e seus potenciais impactos sobre os processos de negócios e metasFocando sobre:Desenvolvimento de um Framework Gestão de Risco que é integrado com negócio e framework de gerenciamento de risco operacional, avaliação de risco, mitigação e comunicação de risco residualÉ alcançado pela:- Garantia que a gestão de risco é completamente embutida na Gestão de Processos, internamente e externamente e consistentemente aplicada- Fazendo a avaliação de Risco-Recomendando e comunicando planos de ações para remediar o riscoÉ mensurado por:% de Objetivos críticos cobertos pela avaliação de risco% de Risco de TI identificado críticos com plano de ação desenvolvido% de Plano de Ação da Gestão de Risco aprovado para implementação

45

Ges

tão

de R

isco

em

TI




Objetivos de Controle:

PO9.1 IT Framework Gestão de Risco:Estabelecer um framework para Gestão de Risco de TI, que será alinhado com frameworkGestão de Risco da organização

PO9.2 Estabelecimento de Contexto do Risco:Estabelecer o contexto em que framework de avaliação de risco é aplicado para garantirresultados apropriados. Isto deve incluir determinado contexto interno e externo de cada avaliação de risco, o objetivo da avaliação e critério contra quais os riscos são avaliados

PO9.3 Identificação do Evento:Identificar eventos (uma ameaça realística importante que explore uma vulnerabilidade aplicável significativo) com um impacto negativo potencial nos objetivos ou nas operações da empresa, incluindo o negócio, regulamentações, legal, a tecnologia, parceiros de negócios, recursos humanos e aspectos operacionais. Determinar a natureza do impacto e manter esta informação. Registrar e manter riscos relevantes em um registro do risco.

PO9.4 Avaliação de Risco:Avaliar em uma base recorrente a probabilidade e o impacto de todos os riscos identificados, usando métodos qualitativos e quantitativos. A probabilidade e o impacto associados com o risco inerente e residual devem ser determinados individualmente, pela categoria e em uma base do portfolio.

46

Ges

tão

de R

isco

em

TI




Objetivos de Controle:

PO9.5 Resposta ao Risco:Desenvolver e manter um processo de resposta do risco projetado para assegurar que custo efetivo do controle mitiga a exposição aos riscos em uma base continuada. O processo de resposta do risco deve identificar estratégias de resposta ao risco tais como evitar, reduzir, compartilhar ou a aceitar; determinar responsabilidades associadas; e considerar níveis de tolerância do risco.

PO9.6 Manutenção e Monitoramento do Plano de Ação do Risco:Dar prioridade e planejar às atividades de controle em todos os níveis e executar as respostas do risco identificado quando necessário, incluindo a identificação dos custos, benefícios e responsabilidade para a execução. Obter a aprovação para ações e a aceitação das recomendadas de todos os riscos residuais e assegurar-se de que as ações realizadas sejam conhecidas pelos proprietários dos processos afetados. Monitorar a execução dos planos e do relatório sobre qualquer desvios à gerência sênior.

47

Ges

tão

de R

isco

em

TI




Guia de Gerenciamento:Entradas Saídas

48

Ges

tão

de R

isco

em

TI




Guia de Gerenciamento:

49

Ges

tão

de R

isco

em

TI




Modelo de Maturidade:

0 Inexistente, quando:Avaliação de risco para processos e decisões de negócios não ocorre. A empresa não considera os impactos do negócio associados com vulnerabilidade de segurança e as incertezas de projeto de desenvolvimento. Gestão de Risco não é identificada como relevante para aquisição de soluções de TI e para entregar de serviços de TI.

1 Inicia/Ad Hoc quando:Os riscos de TI são considerado em uma maneira ad hoc. As avaliações informais do risco do projeto ocorrem como determinado por cada projeto. As avaliações de risco são identificadas às vezes em uma plano de projeto mas raramente atribuídas aos gerentes específicos. Os riscos específicos relacionados, tais como a segurança, a integridade e a disponibilidade (SID), são considerados ocasionalmente em uma base de projeto-por-projeto. Os risco relacionado com TI afetam as operações do dia-a-dia e são raramente discutidos em reuniões de gerência. Onde os riscos foram considerados, o mitigação éinconsistente. Há um entendimento emergente que os risco de TI é importante e a necessidade para considera-los.

2 Repetivivo, mas intuitivo, quando:Um desenvolvimento de uma abordagem de avaliação de risco existe e é implementada com discriçãopelo gerente de projeto. A gerência de risco está geralmente em em nível elevado e é aplicada tipicamente somente aos projetos principais ou em resposta aos problemas. Os processos do mitigação do risco estão começando ser executados onde os riscos são identificados

50

Ges

tão

de R

isco

em

TI




Modelo de Maturidade:3 Definido, quando:Uma política de gerência do risco da organização define quando e como conduzir as avaliações de risco. A gestão de risco segue um processo definido que seja documentado. O treinamento de gestão de risco está disponível a todos os colaboradores. As decisões para seguir o processo de gestão de risco e para receber o treinamento são deixadas à discrição individual. A metodologia para a avaliação do risco estáconvencendo e assegura que os riscos chaves do negócio estejam identificados. Um processo para mitigar os riscos chaves é instituído uma vez que os riscos são identificados. As descrições de trabalho consideram responsabilidades da gestão de risco.

4 Controlado, mensurando quando: A avaliação e a gestão do risco são procedimentos padrões. As exceções ao processo de gestão de risco são relatadas pela gestão. Gerência de risco é uma responsabilidade sênior do gerência-nível. O risco éavaliado e mitigado no nível do projeto individual e também regularmente no que diz respeito todas as operações de TI. A gestão é recomendada a todas as mudanças no negócio e no ambiente de TI, que poderia afetar significativamente os cenários-relacionados ao risco. A gestão pode monitorar a posição do risco e informar as decisões a respeito da exposição que é disposto aceitar. Todos os riscos identificados têm um proprietário nomeado, e a gerência sênior e gestão determinam os níveis do risco que a organização tolerará. Gerência desenvolve medidas padrão para avaliar o risco e definir o risco/taxa de retorno. Os orçamentos da gestão para uma gerência de risco operacional projetam-se em uma base regular. Uma base de conhecimento da gestão de risco é estabelecida e a parte dos processos da gerência de risco está começando a ser automatizada. Gerência considera estratégias do mitigação de risco

51

Ges

tão

de R

isco

em

TI




Modelo de Maturidade:

5 Otimizado, quandoA gestão de risco torna-se ao estágio onde estruturado, processo do organização é reforçado e bem controlado. As melhores práticas são aplicadas por toda a organização. A captura, a análise e o relatório de dados da gerência de risco são automatizados. A orientação é extraída dos líderes de campo, e organização faz avaliação para saber se existe experiências da troca nos grupos. A gestão de risco éintegrada verdadeiramente com o negócio e as operações de TI, ela é bem aceita e envolve extensivamente os usuários de serviços de TIA gestão identifica e age quando são tomadas decisões de investimento sem consideração do plano de gestão de risco. A gerência avalia continuamente estratégias do mitigação de risco.

52

Ges

tão

de R

isco

em

TI


COSOCOSO Comittee of Sponsoring Organizations of the Treadway ComissionComittee of Sponsoring Organizations of the Treadway Comission

53

Ges

tão

de R

isco

em

TI


O processo regulatório referente a controle internos tem um marco importante nos Estados Unidos por ocasião da lei aprovada pelo Congresso Americano, em dezembro de 1987, chamada de Foreign Corrupt Practices Act (FCPA). Essa lei restringe-se a sociedades anônimas por ações. As empresas sob FCPA, são obrigadas a criar e implementar e manter sistemas de controle que ofereçam garantias de que as transações serão registradas de conformidade com os princípios contábeis.Os Auditores Independentes através do AICPA, em SAS 55, pregam que a administração deve estabelecer uma estrutura de controle interna composta por 3 elementos: Ambiente de controle; sistema contábil e procedimento de controle.Um estudo neste sentido foi feito pela Treadway Commission.A recomendação do Treadway Commission, no sentido de desenvolver-se uma definição comum de controle interno com diretrizes processuais, criou-se o COSO, Comitê das Organizações Patrocinadoras.O modelo apresentado pelo COSO em 1992 e atualizado em 1994 (Internal Control –Integrated Framework), atualmente conhecido como COSO 1, definiu o controle interno e elaborou critérios para a avaliação de sistemas. O COSO 1 responsabiliza pelo processo de controle interno o Conselho Diretor (Board), a Administração (Directors) e os funcionários da entidade.Ele estabelece o processo como garantidor para a realização de objetivos das seguintes categorias:

Elementos de Regulamentação Norte-Americanas sobre Controle Interno

COSOCOSO Committee of Sponsoring Organizations of the Treadway ComissionCommittee of Sponsoring Organizations of the Treadway Comission

54

Ges

tão

de R

isco

em

TI


- Eficácia e eficiência de operações;- confiabilidade dos relatórios financeiros- cumprimento das leis e regulamentos pertinentes.

O COSO 1 sugere também que a avaliação do processo de controle interno deva ser pontual ao longo do tempo (exemplo: trimestral, anual...).

O modelo define ainda que um sistema de controle interno deve ter 5 componentes relacionados:1 – Ambiente de controle (com foco na estrutura organizacional e as relações com o ambiente externo);2 – Avaliação de risco;3 – Atividade de controle (políticas e procedimentos);4 – informações e comunicações5 – Monitoramento



55

Ges

tão

de R

isco

em

TI


Após o COSO , o AICPA emitiu o SAS (Statement of Auditing Stardard – Declaração Padrão de Auditoria) 78 que adere ao COSO 1, tornou um padrão para as firmas de Auditorias.A Fundação de Auditoria e Controle de Sistemas de Informações (ISAF) criou um padrão chamado COBIT (Objetivo de Controle de Informações e Tecnologias Relacionadas), publicado em 1995 (primeira versão). O COBIT partiu do modelo COSO 1.

O COBIT é focado nos processos de tecnologia de informação e seus relacionamentos com o controle interno.Esses documentos, COSO 1, SAS 78 e COBIT enfatizam que a administração éresponsável por estabelecer, manter e monitorar o sistema de controle interno de uma empresa.



56

Ges

tão

de R

isco

em

TI


Existe um relacionamento direto entre os objetivos, que uma organização empenha-se em alcançar, e os componentes do gerenciamento de riscos corporativos, que representam aquilo que é necessário para o seu alcance.

Esse relacionamento é apresentado em uma matriztridimensional em forma de cubo.

As quatro categorias de objetivos (estratégicos, operacionais, de comunicação e conformidade) estão representadas nas colunas verticais.

Os oito componentes nas linhas horizontais

e as unidades de uma organização na terceira dimensão.

Essa representação ilustra a capacidade de manter oenfoque na totalidade do gerenciamento de riscos de uma organização, ou na categoria de objetivos, componentes, unidade da organização ou qualquer um dos subconjuntos.

Cubo Coso

O COSO propõem uma revisão técnica, chamada de ERM (Enterprise Risk Management Framework)conhecida como COSO 2.


57

Ges

tão

de R

isco

em

TI


ITILITIL Melhores Práticas para Gerenciamento de Serviços de TIMelhores Práticas para Gerenciamento de Serviços de TI

Sobre a ITIL:

O governo da Inglaterra buscava fazer redução de custos e de risco relacionados com área de TI. Pesquisas mostravam, porém, que mais de80% do custo dos Serviços de TI estava ligado ao dia-a-dia de sua operação e apenas 20% ao processo de desenvolvimento de software. Por esse motivo, foi criada a Biblioteca de Infra-estrutura de TI pelo CCTA (atual OGC). Esta biblioteca representa as melhores práticas para a Gestão Serviço de TI.

OCG – Office of GovernmentCommerce (antigo CCTA) :- Proprietário do ITIL- Comitê Gestor

TSO – The Stationery Office- Publicações da ITIL

itSMF – IT Service MngtForumGerenciamento de Serviçosde TIwww.itsmf.com.br

EXIN e ISEB- Certificações

® ITIL é uma marca registrada em nome do OGC

ITILITIL

Biblioteca composta por 5 livros

Conjunto de melhorespráticas para Gestão

de Serviços de TI

Abordagem para Gestão de Serviços TI (ITSM)

Padrão Aberto que tornou padrão de fato

Foco: Ciclo de vida dos Serviços

ISO 20000

58

Ges

tão

de R

isco

em

TI



Adaptado do original de David Pultorak

59

Ges

tão

de R

isco

em

TI


Gestão de Configuração

Relacionamento com Negócio

Gestão do Nível de Serviço

Gestão deIncidentes

Gestão de Problemas

Gestão de Capacidade

Gestão de Disponibilidade

GestãoFinanceira de

Serviços de TI

Gestão de Continuidade

de Serviços de TI

Gestão de Liberação

Usu

ário

s

Central deServiços

Gerenciamento de Mudança

(porta) Ger

enci

amen

to d

e Se

gura

nça

Supo

rte

aos

Serv

iços

Entr

ega

de S

ervi

ços


60

Ges

tão

de R

isco

em

TI



Relacionamento com Negócio

Gestão do Nível de Serviço


Gestão de Problemas

Gestão de Capacidade

Gestão de Disponibilidade

GestãoFinanceira de

Serviços de TI

Gestão de Continuidade

de Serviços de TI

Gestão de Liberação

Usu

ário

s

Central deServiços

Gerenciamento de Mudança

(porta) Ger

enci

amen

to d

e Se

gura

nça

Supo

rte

aos

Serv

iços

Entr

ega

de S

ervi

ços


61

Ges

tão

de R

isco

em

TI


As melhores práticas para o Gerenciamento de Serviços de TI

Usuários ServiceDesk


Gestão deConfiguração

Gestão deProblema

Gestão deMudança

Gestão deLiberação

RFCSLA Monitoramento

Gestão SLM/SLA

Registro doIncidente

Ciclo PDCA

PlanejarPlan

ExecutarDO

AgirAct

VerificarCheck

Base deConhecimento

Base deConhecimento

Adotar eAdaptar

Gestão deCapacidadeGestão de

Capacidade

Gestão deDisponibilidade

Gestão deDisponibilidade

Gestão deContinuidade

Gestão deContinuidade

Gestão deFinanceiraGestão deFinanceira

Clientes(negócios)

Entrega dos Serviços

Suporte aos Serviços


62

Ges

tão

de R

isco

em

TI


Gestão de Configuração (Configuration Management)

Gerenciar o banco de dados de todos os componentes necessários para fornecer serviços


63

Ges

tão

de R

isco

em

TI


Itens de Configuração


64

Ges

tão

de R

isco

em

TI


Tipos de Item de Configuração (IC):

SoftwareSoftwareHardwareHardware

DocumentaDocumentaççãoãoProcessos e procedimentos

Documentação técnicaDiagramas/gráficos

Contratos (SLA)

ICIC

ÉÉ necessnecessáário parario parafornecer um servifornecer um serviççoo


65

Ges

tão

de R

isco

em

TI


Objetivo


66

Ges

tão

de R

isco

em

TI


Justificativas


67

Ges

tão

de R

isco

em

TI


Atividades


68

Ges

tão

de R

isco

em

TI


Terminologia


69

Ges

tão

de R

isco

em

TI



70

Ges

tão

de R

isco

em

TI


Benefícios


71

Ges

tão

de R

isco

em

TI


Gestão de Problema (Problem Management)

Incidentes X Problemas

Problema difere de incidente no objetivo, ou seja, enquanto a gerência de incidente tem como objetivo restaurar de forma mais rápida possível os serviços para os clientes, a gerência de problema tem que buscar a causa raiz do incidente, e sua conseqüente solução e prevenção.


72

Ges

tão

de R

isco

em

TI


Um Um ProblemaProblema éé um erro de causa desconhecida que pode um erro de causa desconhecida que pode causar um ou mais incidentescausar um ou mais incidentes.

Um Um ProblemaProblema poderpoderáá ser um ser um Erro ConhecidoErro Conhecido ((KnownKnown ErrorError)) quando a causa raiz quando a causa raiz ((rootroot causecause) tornar conhecida e uma ) tornar conhecida e uma SoluSoluçção de Contornoão de Contorno ((workwork--aroundaround) ou ) ou

permanente for identificada e aplicada.permanente for identificada e aplicada.

Uma RDM Uma RDM (RFC)(RFC) propõe uma mudanpropõe uma mudançça (a (changechange), para eliminar ), para eliminar um Erro Conhecido um Erro Conhecido ((KnownKnown ErrorError))

ÉÉ um um ajuste temporajuste temporáário rio para evitar que o negpara evitar que o negóócio do cliente não fique parado ou com cio do cliente não fique parado ou com baixa qualidade. Não baixa qualidade. Não éé uma soluuma soluçção permanente e sim uma ão permanente e sim uma solusoluçção paliativaão paliativa..

Gestão de Problemas:


73

Ges

tão

de R

isco

em

TI



74

Ges

tão

de R

isco

em

TI


Infra-estrutura do Erro

Incidente Problema

Estrutura daResolução

Erro conhecido (Known Error) RDM (RFC)

Infra-estrutura do Erro


75

Ges

tão

de R

isco

em

TI


Gerência deProblemas

ProblemProblemControlControl

ErrorErrorControlControl

SuporteSuporte dodoincidenteincidente

Atividades

GerenciamentoGerenciamentoReativoReativo

GerenciamentoGerenciamentoPrPróó--ativoativo


76

Ges

tão

de R

isco

em

TI


O processo de Controle de Problema (Problem Control) está preocupado em agrupar os problemas de um modo eficiente e efetivo.

Tem como alvo controlar os problemas e identificar a causa Raiz (root cause), como por exemplo qual o Item de Configuração que causou a falha e prover a informação ao service desk com o possível work-around, quando disponível.

Controle do Problema (Problem Control)


77

Ges

tão

de R

isco

em

TI


Problem Control

IdentificaIdentificaçção e registroão e registro

ClassificaClassificaççãoão

InvestigaInvestigaçção e diagnão e diagnóósticostico

Ger

aG

era çç

ão d

e in

form

aão

de

info

rma çç

ões

par

a:ões

par

a:Ras

trea

men

to (

Ras

trea

men

to (

trac

kin

gtr

acki

ng )

,

),

monitora

men

to e

rel

atm

onitora

men

to e

rel

atóório

rio

Determinar o Erro Conhecido (Determinar o Erro Conhecido (knowknow errorerror))e Solue Soluçção de Contorno ão de Contorno ((WorkWork--aroundaround))


78

Ges

tão

de R

isco

em

TI


Método desenvolvido por Charles Kepner e Benjamin Tregoe.

Sistemática para resolver problemas e usar o máximo de vantagem do conhecimento e experiências: 1.1. DefinirDefinir o Problema2.2. Descrever o ProblemaDescrever o Problema relacionando identidade, localização, tempo e tamanho3. Estabilizar possíveis causascausas4.4. TestarTestar a causa mais provável5.5. VerificarVerificar a verdadeira causa

Análise de Kepner e Tregoe


Diagrama de Ishikawa /causa e efeito ou Espinha de Peixe:

79

Ges

tão

de R

isco

em

TI


Um diagrama de Pareto é um tipo específico de histograma, ordenado por freqüência de ocorrência, que mostra quantos defeitos foram gerados por tipo ou categoria de causa identificada. Os diagramas de Pareto estão conceitualmente relacionados à Lei de Pareto, que afirma que um número relativamente pequeno de causas normalmente produzirá a grande maioria dos problemas ou defeitos. Isso geralmente é chamado de princípio 80/20, em que 80% dos problemas se devem a 20% das causas.

Diagrama de Pareto

Diagrama de Pareto

05

10152025303540

Client -Memória

Client - SO Servidor -Espaço em

disco

Banco deDados - Falta

de índice

Rede - Colisãode pacote

Servidor - No.Usuários

concorrente

Banco deDados - Query

Design -Usabilidade

Causas

Oco

rrênc

ias


80

Ges

tão

de R

isco

em

TI


FechamentoFechamento

IdentificaIdentificaçção e ão e registroregistro

Registro da SoluRegistro da Soluçção ão do do ErroErro

AvaliaAvaliaçção do ão do ErroErro

Ger

aG

era çç

ão d

e in

form

aão

de

info

rma çç

ões

para

:õe

s pa

ra:

Ras

tream

ento

(R

astre

amen

to ( t

rack

ing

track

ing )

, ), m

onito

ram

ento

e re

lat

mon

itora

men

to e

rela

t óóriorio

Mudança implementada com sucesso

O processo de Controle do Erro, cobre o gerenciamento de erros conhecidos (know errors) até que estes possam ser eliminados definitivamente, através de um processo de mudança acompanhado pela gerência de mudança.

Controle do Erro (Error Control)


81

Ges

tão

de R

isco

em

TI


Fornecer suporte de segundo/terceiro nível a incidentes.

Identificação de possíveis problemas:• Relatórios (análise de tendência)• Ferramentas de gerenciamento

Identificação e diagnóstico de problemas.

Prevenção de problemas

Monitorar a Gerência de Mudanças

Disparar mudanças para combater:• Ocorrência de incidentes• Repetição de incidentes

Gestão pró-ativa dos problemas

O processo de gerenciamento pró-ativo dos problemas cobre as atividades focadas em identificar e resolver os problemas antes mesmo que um incidente ocorra.


82

Ges

tão

de R

isco

em

TI


IncidentIncidentManagementManagement

CapacityCapacityManagementManagement

ConfigurationConfigurationManagementManagement

Service LevelService LevelManagementManagement

AvailabilityAvailabilityManagementManagement

ProblemProblemManagementManagementProblemProblem ControlControl

ErrorError ControlControlPrPróó--atividadeatividade

Change Change ManagementManagement

Banco de DadosProblema

informação

Registro

informação

RFCRPI - Revisão de Pós-Implementação(PIR - Post Implementation Review)

Informações, Work-arounds

Relacionamento


83

Ges

tão

de R

isco

em

TI



84

Ges

tão

de R

isco

em

TI



85

Ges

tão

de R

isco

em

TI


Gestão de Mudança (Change Management)


86

Ges

tão

de R

isco

em

TI


Justificativas


87

Ges

tão

de R

isco

em

TI


Terminologia


88

Ges

tão

de R

isco

em

TI


Atividades


89

Ges

tão

de R

isco

em

TI


O que deve ser consideradoITILITIL Melhores Práticas para Gerenciamento de Serviços de TIMelhores Práticas para Gerenciamento de Serviços de TI

90

Ges

tão

de R

isco

em

TI


Registro e Registro e classificaclassificaççãoão

AprovaAprovaççãoão

AvaliaAvaliaççãoãoRPI-Revisão de

Pós-Implementação *

AutorizaAutorizaçção e ão e implementaimplementaççãoão

Monitoramento eMonitoramento eplanejamentoplanejamento

ConstruConstruççãoão

ImplementaImplementaççãoão

TestesTestes

Change Management

Gestão doProjetos

Cha

nge

Cha

nge

Man

agem

ent

Man

agem

ent

Recusa

Recusa

Backout


Atividades

RFC

91

Ges

tão

de R

isco

em

TI


Comite de Controle Mudança

Change Advisory BoardChange Advisory Board (CAB) Comitê de Controle de Mudanças (CCM)

O CAB é o comitê que aprova mudança e ajuda o gerente de mudança avaliar e a priorizar as mudanças

As reuniões têm uma base regular.têm uma base regular.Por exemplo: quinzenal.

CAB / Emergency CommitteeCAB / Emergency Committee (CAB/EC)Comitê de Controle de Mudanças/Comitê de Emergência (CCM/CE)

Tem a responsabilidade de fazer avaliação de mudança urgente.

As reuniões nãonão têmtêm base regularbase regular, acontecem quando solicitadas.


92

Ges

tão

de R

isco

em

TI


Modelos de Requisições de Mudanças


93

Ges

tão

de R

isco

em

TI


Modelo conforme o impacto nos negócios

Gerente de Mudança

Filtrar solicitaçãoInício

Gerente de Mudança

Defini a prioridadeinicial

Gerente de Mudança

Decidi o modelo e a categoria

Implementa a mudançausando o modelo

apropriado

Construção Mudança

Construir a mudança, plano de Backout & plano de

testes

TestadorindependenteTesta a mudança

Gerente de Mudança

Coordenar a implementação da

mudança

Gerente de Mudança

Rever a mudança

Fecha

Gerente de Mudança

Aprovar/rejeitar e agendar mudança; Relatório do plano

de ação para o CAB

Gerente de Mudança

Circular a RFC para o CAB

Gerente de Mudança

Circular a RFC para a diretoria da

empresa

menormaior significativo

Gestor Sênior / níveldo conselho

Aprovar/rejeitar a mudança

(Financeiro / Técnico / Negócios)

Gestor Sênior / nível do conselho

Aprovar/rejeitar a mudança

(Financeiro / Técnico / Negócios)


94

Ges

tão

de R

isco

em

TI


Mudança Urgente

Gerente de Mudança

Filtrar solicitaçõesInício

Gerente de Mudança

Definir a prioridadeinicial

Gerente de Mudança

Chama o CAB / EC

CAB / EC

Rapidamente fazanálise de

impacto e a urgência

Testadorindependente

Testes urgentes

Gerente de Mudança

Coordenar a implementação da

mudança

Gerente de Mudança

Garantir que osregistros estão

atualizados

Gerente de Mudança

Rever a mudança

Fecha

Construção Mudança

Construir a mudança, plano de Backout& plano de testes


95

Ges

tão

de R

isco

em

TI


Relacionamentos


FimFim

RequisiRequisiççãoão dedeMudanMudanççaa

AvaliaAvaliaççãoão((assessassess))

AprovaAprovaççãoãoMudanMudanççaa

ImplementaImplementaççãoão

RPIRPI--RevisãoRevisão de de PPóóss--ImplementaImplementaçção*ão*

FechaFechaMudanMudanççaa

PartesPartes impactadasimpactadas

BaselineBaseline, , LiberaLiberaççãoãoLiberaLiberaççãoão (Release)(Release) & & distribuidistribuiççãoão

ChecarChecar todostodosregistrosregistros

AtualizadosAtualizados

Gestão de Mudança Gestão de Liberação (Release)RelatRelatóóriosrios & & auditauditóóriaria

ConfiguraConfiguraççãoão

AtualizaAtualizaççãoão

* PIR - Post-Implementation Review

C M

D B

C M

D B


96

Ges

tão

de R

isco

em

TI


Indicadores


97

Ges

tão

de R

isco

em

TI


Benefícios


98

Ges

tão

de R

isco

em

TI


Liberação, distribuição de uma Requisição de Mudança autorizada/aprovada.


Gestão de Liberação (Release Management)

99

Ges

tão

de R

isco

em

TI


Gestão de Liberação (Release Management)


100

Ges

tão

de R

isco

em

TI



101

Ges

tão

de R

isco

em

TI



102

Ges

tão

de R

isco

em

TI


Terminologia


103

Ges

tão

de R

isco

em

TI


Requisição de Mudança Aprovada Roll-out

Change Management Change Management Release ManagementRelease Management


104

Ges

tão

de R

isco

em

TI


DistribuiDistribuiççãoão

Base paraBase paraLiberaLiberaççõesões

LigaLigaççãoãocom ocom oCMDBCMDB

ProteProteçção (ão (BKPBKP) ) das Versões das Versões autorizadasautorizadas

DepDepóósitossitosFFíísicossicos

Armazenamento Armazenamento LLóógicogico

DSLDSL

DSL – Definitive Software Library (Biblioteca de Software Definitiva)


105

Ges

tão

de R

isco

em

TI


Detalhes de Detalhes de construconstruçção e ão e componentescomponentes

EspecificaEspecificaççõesões

ÁÁrea segurarea seguraPara hardwarePara hardware

ICICsobressalentes sobressalentes

((sparesspares))

DHSDHS

DHS - Definitive Hardware Store (Depósito de Hardware Definitivo)


106

Ges

tão

de R

isco

em

TI


Plano dePlano de backback--outout

PapPapééis e is e responsabilidaderesponsabilidade

Tipo de LiberaTipo de Liberaççãoão((ReleaseRelease))(ex: Delta)(ex: Delta)

LiberaLiberaçção ão ((ReleaseRelease) )

dedeEmergênciaEmergência

FreqFreqüüência da ência da LiberaLiberaçção ão ((ReleaseRelease))

No. da versão e No. da versão e LiberaLiberaçção ão ((ReleaseRelease))

PolPolíítica de tica de LiberaLiberaççõesões((ReleasesReleases))

Política de Liberações (Releases)


107

Ges

tão

de R

isco

em

TI


Atividades:

Configuration Management Database (CMDB)e

Definitive Software Library (DSL)

AmbienteAmbiente ControladoControladode de testeteste

AmbienteAmbiente de de ProduProduççãoão

RELEASE MANAGEMENT

AmbienteAmbienteDesenvolvimentoDesenvolvimento

PolíticaRelease

Planeja-mento

Release

Desenvol-vimentointerno

oucomprasoftware

Constru-ção /

configura-ção

release

Testes AceiteRelease

Roll-out plano

Comunicação & treinamento

Distribuição&

instalação


108

Ges

tão

de R

isco

em

TI


Ambiente de Desenvolvimento

V 1.1a

Ambiente de Desenvolvimento

V 1.1a

Gerenciamento da Construção

V 1.1 d

Gerenciamento da Construção

V 1.1 d

Ambiente de TesteAmbiente de Teste

Ambiente de ProduçãoAmbiente de Produção

V 1.0V 1.0

V 1.1V 1.1

RFC

Autorizada?

Construir e

Testar o

Software

Liberação de

Teste

Liberação de

Teste

Autorizada?

ImplantarImplantar

RegistroRelease

DSLDSL

Flux

oFl

uxo

CM

DB

CM

DB

Am

bien

tes

Am

bien

tes

. V 1.0 operacional na DSL.

. Construção autorizada.

. V 1.1a (baseada na V 1.0)

. Não confiável em desenvolvimento.


. Construção autorizada.

. V 1.1a (baseada na V 1.0)

. Não confiável em desenvolvimento.


. V 1.1d não confiável em teste.. V 1.0 operacional na DSL.. V 1.1d não confiável em teste.


. Liberada através da DSL para teste da liberação (release)


. Liberada através da DSL para teste da liberação (release)

. V 1.0 operacional na DSL (atualização agendada).

. V 1.1 Confiável construída na DSL

. V 1.0 operacional na DSL (atualização agendada).

. V 1.1 Confiável construída na DSL

. Autorização para Liberação (Release).. V 1.1 operacional e também na DSL . V 1.0 arquivada na DSL

. Autorização para Liberação (Release).. V 1.1 operacional e também na DSL . V 1.0 arquivada na DSL

Processo de Liberação (Release) e Distribuição


109

Ges

tão

de R

isco

em

TI


IndicadoresITILITIL Melhores Práticas para Gerenciamento de Serviços de TIMelhores Práticas para Gerenciamento de Serviços de TI

110

Ges

tão

de R

isco

em

TI


BenefíciosITILITIL Melhores Práticas para Gerenciamento de Serviços de TIMelhores Práticas para Gerenciamento de Serviços de TI

111

Ges

tão

de R

isco

em

TI


PMBokPMBok Gestão de ProjetosGestão de Projetos

Gestão de Projetos:PMBOK - A Guide to Project Management Body of Knowledge, publicado pela PMI - Project Management Institute (SEI) .O PMBok é guia das melhores práticas e o conhecimento e da área de gerência de projetos.

O que é um projeto ?“Um projeto é um esforço temporário empreendido para criar um produto, serviço ou resultado exclusivo”.

O que é gerenciamento de projeto ?A aplicação de conhecimento, habilidades, ferramentas e técnicas às atividades do projeto a fim de atender aos requisitos. O gerenciamento de projetos é realizado através da aplicação e da integração dos seguintes processos de gerenciamento: iniciação, planejamento, execução, monitoramento, controle e encerramento.

Encerramento

ExecuçãoControle

Iniciação Planejamento

Grupo de Processos

112

Ges

tão

de R

isco

em

TI



Grupo de Processos da Gestão de Projetos:

O processo de encerramento é a conclusão formal do projeto. Esse processo está ligado à determinação pelas partes interessadas de que o projeto cumpriu suas obrigações como definido na declaração de escopo.

Encerramento

Esse grupo envolve gerenciamento de escopo e utilização de processos para manter o projeto alinhado com os objetivos originais. Esse processo abrangem vários acompanhamentos para garantir-se de que tudo esteja dentro das restrições definidas no inicio do projeto e no documento de autorização (Project Charter).

Controle

Esse processo é junção do planejamento e aprimoramento do escopo, objetivos e entregaveis(deliverables) aparecem durante a implementação desse processo.

Execução

A definição de objetivos e seleção das melhores opções se encaixam nessa categoria. Esses processos são demorados mas não muito significativos para o sucesso do projeto

Planejamento

São os processos que autorizam o projeto ou diversas fases dele.Iniciação

DescriçãoGrupo de Processo

O Ciclo de Vida do Projeto:Na prática, as fases constituem um conjunto dinâmico de processos que podem se sobrepor

113

Ges

tão

de R

isco

em

TI



Áreas de Conhecimento Gestão de Projetos:

Essa área se concentra no planejamento de aquisições, planejamento de solicitações, solicitação, seleção de fonte, administração de contrato e liquidação.

Gerenciamento de aquisição do projeto

Essa área descreve planejamento do gerenciamento de risco, identificação, análise qualitativa do risco, planejamento de resposta, monitoração e controle.

Gerenciamento de risco do projeto

Essa área envolve o planejamento de comunicações, distribuição de informações, relatórios de desempenho e conclusão administrativa

Gerenciamento de comunicação do projeto

Essa área relaciona-se com o planejamento empresarial, obtenção pessoal e desenvolvimento de equipe

Gerenciamento de recursos humanos do projeto

Essa área envolve o planejamento, do projeto garantia e controle de qualidade.Gerenciamento de qualidade

Essa área incorpora o planejamento, estimativa de custos, orçamento e controle de qualidade.

Gerenciamento dos custos do projeto

Essa área abrange a definição, prosseguimento, estimativa de duração, desenvolvimento de cronograma e controle de atividades.Importante lembrar que tempo é elemento essencial ao projeto e ao seu sucesso.

Gerenciamento de tempo do projeto

Essa área é composta pelo iniciação, planejamento do escopo, definição, verificação e controle de alterações do projeto. A iniciação é onde começa o projeto com o esboço do que se deseja executar e os processos que serão necessários para fazer qualquer alterações no escopo.

Gerenciamento do escopo do projeto

Essa área inclui desenvolvimento, execução e controle de alterações integrado do plano.Isso envolve informações para desenvolver o plano e os processos para mantê-lo sob controle.

Gerenciamento integrado de projeto

DescriçãoÁrea de Conhecimento

114

Ges

tão

de R

isco

em

TI


Gestão dos Riscos


115

Ges

tão

de R

isco

em

TI


Riscos por Área de Conhecimento:

EscopoEscopo CustoCustoTempoTempoQualidadeQualidade

IntegraIntegraççãoãoComunicaComunicaççãoãoRHRHAquisiAquisiççõesões

ProblemaProblemaRiscoRisco


116

Ges

tão

de R

isco

em

TI



Riscos por Área de Conhecimento:

117

Ges

tão

de R

isco

em

TI


Análise quantitativa de riscos e técnicas de modelagem

As técnicas comumente usadas na análise quantitativa de riscos incluem:

Análise do valor monetário esperado:A análise do Valor Monetário Esperado (VME) é um conceito estatconceito estatíístico que calcula o resultado stico que calcula o resultado mméédio quando o futuro inclui cendio quando o futuro inclui cenáários que podem ou não acontecerrios que podem ou não acontecer (por exemplo, a análise em condições de incerteza). A VME das oportunidades será normalmente expressa em valores positivos, enquanto a dos riscos será expressa em valores negativos.

A VME é calculada multiplicando o valor de cada resultado possível por sua probabilidade de ocorrência e adicionando os dois. Uma utilização comum deste tipo de análise está na análise da árvore de decisão. É recomendável usar modelagem e simulação para a análise de risco de custo e cronograma, pois são mais poderosas e menos sujeitas a uso inadequado que a análise do valor monetário esperado.

Análise da árvore de decisão:Em geral, a análise da árvore de decisão é estruturada usando um diagrama da diagrama da áárvore de decisãorvore de decisãoque descreve uma situação que está sendo considerada e as implicações de cada uma das escolhas disponíveis e cenários possíveis. Ela incorpora o custo de cada escolha disponível, as probabilidades de cada cenário possível e o retorno de cada caminho lógico alternativo. A resolução da árvore de decisão fornece a VME (ou outra medida de interesse da organização) para cada alternativa, quando todas as premiações e decisões subseqüentes estiverem quantificadas.

Gestão de RiscoPMBokPMBok Gestão de ProjetosGestão de Projetos

118

Ges

tão

de R

isco

em

TI


Gestão dos Riscos - Análise da árvore de decisão e VME


119

Ges

tão

de R

isco

em

TI


Gestão de Segurança da InformaçãoGestão de Segurança da Informação

Informação (contexto 17799):

"A informação é um bem que, como outros, importantes bens de negóciio, tem valor para a organização e conseqüentemente necessita de ser sustentavelmente protegida"

"A informação pode existir em diversas formas. Pode ser impressa ou escrita em papel, guardada eletronicamente, transmitida por correio eletrônico,mostrada em filme ou transmitida em conversas"

"Qualquer que senha a forma que a informação possua, o meio na qual épartilhada ou guardada, deverá sempre ser apropriadamente protegida"

A importância da informação:> Bancos (valor patrimonial de clientes)> Estado (defesa nacional)> Produtos/Serviços (segredos)> Saúde (registro médicos - prontuário eletrônico)> Modelo Financeiros (estratégia de negócios)> Negócios na Bolsa de Valores (Vazamento de Informação)...

ISO 17799ISO 17799

120

Ges

tão

de R

isco

em

TI



Principais Componentes:

Disponibilidade – Acesso contínuo e ininterrupto. A informação deve estar disponível para a pessoa certa e no momento em que ela precisar.

Integridade – Proteger a informação contra qualquer tipo de alteração sem a autorização explícita do autor da mesma

Confidencialidade – Visa manter o sigilo, o segredo ou a privacidade das informações, evitando que pessoas, entidades ou programas não autorizados tenham acesso às mesmas.

Autenticidade - garante ao receptor da informação a origem informada. Assegura que o acesso àinformação não possa ser realizado por terceiros em nome do receptor ou que se utilizem do nome do originador para enviar informações.

Objetivos:• Reduzir a probabilidade de ocorrência de incidentes.• Minimizar os danos / perdas causados à Organização.• Recuperação dos danos em caso de incidente.

ISO 17799ISO 17799

121

Ges

tão

de R

isco

em

TI



Atitude de Segurança

ReativaResposta a incidentes;Investigações;Aplicação de sanções.

PreventivaPlanejamento;Normalização;Infra-estrutura segura;Educação e Treinamento;Auditoria.

ISO 17799ISO 17799

122

Ges

tão

de R

isco

em

TI


ISO 17999ISO 17999 Gestão de Segurança da InformaçãoGestão de Segurança da Informação

Medidas de Segurança:

• Política de Segurança;• Política de utilização da Internet e

Correio Eletrônico;• Política de instalação e utilização de

softwares;• Plano de Classificação das

Informações;• Auditoria;• Análise de Riscos;• Análise de Vulnerabilidades;• Análise da Política de Backup /

Restore;• Plano de Ação Operacional;• Plano de Contingência;• Capacitação Técnica;• Processo de Conscientização dos

Usuários.

• Política de Segurança;• Política de utilização da Internet e

Correio Eletrônico;• Política de instalação e utilização de

softwares;• Plano de Classificação das

Informações;• Auditoria;• Análise de Riscos;• Análise de Vulnerabilidades;• Análise da Política de Backup /

Restore;• Plano de Ação Operacional;• Plano de Contingência;• Capacitação Técnica;• Processo de Conscientização dos

Usuários.

• Backups;• Antivírus;• Firewall;• Detecção de Intruso (IDS);• Servidor Proxy;• Filtros de Conteúdo;• Sistema de Backup;• Monitoração;• Sistema de Controle de Acesso;• Criptografia Forte;• Certificação Digital;• Teste de Invasão;• Segurança do acesso físico aos locais críticos

• Backups;• Antivírus;• Firewall;• Detecção de Intruso (IDS);• Servidor Proxy;• Filtros de Conteúdo;• Sistema de Backup;• Monitoração;• Sistema de Controle de Acesso;• Criptografia Forte;• Certificação Digital;• Teste de Invasão;• Segurança do acesso físico aos locais críticos

Medidas de Segurança:

123

Ges

tão

de R

isco

em

TI


• Em outubro de 1967 foi criado um documento chamado “SecurityControl for Computer System” que marcou o passo inicial para criação de conjunto de regras para segurança de computadores.

• DoD também não ficou fora disto e teve grande participação na elaboração de regras.

• Em 1978 foi escrito “Orange Book”, conhecido também como “Trusted Computer Evaluation Criteria” por DoD. A versão final deste documento foi impresso em dezembro de 1985.

• O “Orange Book” é considerado como marco inicial de um processo mundial de busca de medidas que permitem a um ambiente computacional ser qualificado como seguro.

• O "Orange Book" permite especificar o que deve ser implementado e fornecido por um software, para que ele seja classificado em um dos níveis de "segurança" pré-estipulados.

Surgimento de Normas:


124

Ges

tão

de R

isco

em

TI


Modelo de Implementação:


Definirescopo

Revisão Documentação

GapAnalyses

Inventáriode Ativos

Avaliação deRisco

Gestão deRiscoObjetivo de

Controle

DesenvolverPolítica

DesenvolverProcedimento

Treinamento

MonitorarCompliance

Compliance eCertificação

Implantação daISO 17799

125

Ges

tão

de R

isco

em

TI


Surgimento de Normas:


Este esforço foi liderado pela "International Organization for Standardization (ISO). No final do ano de 2000, o primeiro resultado desse esforço foi apresentado, que é a norma internacional de Segurança da Informação "ISO/IEC-17799:2000", a qual já possui uma versão aplicada aos países de língua portuguesa, denominada "NBR ISO/IEC-17799“ .

NBR/ISO IEC 17799A ISO 17799 é um conjunto de recomendações para Gestão da Segurança da Informação; Providencia uma base comum para o desenvolvimento de normas de segurança organizacional e das práticas efetivas de gestão da segurança;Leva em consideração tecnologia, processos e pessoas. Esta norma é publicada no Brasil pela ABNT com o código NBR ISO 17799.

Histórico:A Associação Britânica de Normas tinha 2 normas referentes à segurança de sistemas de informação: a BS 7799-1 e a BS 7799-2.A BS 7799-1 foi submetida ao ISO e aprovada (com problemas), vindo a ser a ISO 17799.

126

Ges

tão

de R

isco

em

TI


• 1. Objetivo da norma• 2. Termos e definições• 3. Política de segurança• 4. Segurança organizacional• 5. Classificação e controle dos ativos

de informação• 6. Segurança de pessoas

• 7. Segurança física e do ambiente• 8. Gerenciamento de operações e

comunicações• 9. Controle de acesso• 10. Desenvolvimento de sistemas.• 11. Gestão de continuidade de negócios• 12. Conformidade


Infra estrutura de segurança: indica que uma estrutura organizacional deve ser criada para iniciar e implementar as medidas de segurança.

Segurança no acesso de prestadores de serviço: garantir a segurança dos ativos acessados por prestadores de serviços.

Segurança envolvendo serviços terceirizados: deve-se incluir nos contratos de terceirização de serviços computacionais cláusulas para segurança

ISO 17799 – Segurança Organizacional

Componentes do ISO 17799

127

Ges

tão

de R

isco

em

TI


• Segurança na definição e Recursos de Trabalho: Devem ser incluídas as preocupações de segurança no momento da contratação de pessoas. Verificar os critérios de segurança no processo de seleção. Funcionários devem assinar o acordo de confidencialidade.

• Treinamento dos usuários: educação, conscientização e treinamento referentes a segurança.

• Mecanismos de Incidente de Segurança: Deve existir mecanismos para funcionários poderem reportar possíveis falhas.

• Processo disciplinar formal: Deve haver um processo disciplinar formal para funcionários que violaram os procedimentos de segurança.

ISO 17799 – Segurança de Pessoas


• Áreas de segurança: prevenir acesso não autorizado, dano e interferência nas instalações físicas. Isso inclui: definir um perímetro de segurança, controles de entrada física, etc

•• Segurança de equipamento: convém proteger equipamentos fisicamente de ameaças e perigos

ambientais. Isso inclui roubo, fogo, e outros perigos ambientais, proteção contra falta de energia, segurança do cabeamento, definição de política de manutenção, proteção a equipamentos fora das instalações.

• Controles gerais: Por exemplo proteção de tela com senha para evitar que informação fique visível em tela, deve-se ter uma política quanto a deixar papéis na impressora por muito tempo, etc.

ISO 17799 – Segurança de Física e de Ambiente

128

Ges

tão

de R

isco

em

TI


• Áreas de segurança: prevenir acesso não autorizado, dano e interferência nas instalações físicas. Isso inclui: definir um perímetro de segurança, controles de entrada física, etc

•Segurança de equipamento: convém proteger equipamentos fisicamente de ameaças e perigos ambientais. Isso inclui roubo, fogo, e outros perigos ambientais, proteção contra falta de energia, segurança do cabeamento, definição de política de manutenção, proteção a equipamentos fora das instalações.

• Controles gerais: Por exemplo proteção de tela com senha para evitar que informação fique visível em tela, deve-se ter uma política quanto a deixar papéis na impressora por muito tempo, etc.

ISO 17799 – Controle de Acesso


Gerenciamento de acesso dos usuários:• Registro do usuário: ID única para cada usuário, pedir assinatura em termo de responsabilidade,

remover usuário assim que o funcionário sair da empresa .• Gerenciamento de privilégios: Basicamente, se recomenda que usuários

tenham apenas os privilégios necessários para fazer seu trabalho.• Gerenciamento de senhas: termo de responsabilidade deve afirmar que

senha é secreta e não deve ser divulgada, senhas temporárias devem funcionar apenas uma vez.

• Análise crítica dos direitos de acesso do usuário: deve-se analisar os direitos de acesso dos usuários com freqüência de 6 meses ou menos.

129

Ges

tão

de R

isco

em

TI


• Responsabilidades dos usuários:– Senhas: segundo norma, usuário deve zelar pela sua senha e criar uma senha considerada

aceitável (mínimo de 6 caracteres).– Equipamentos sem monitoração: Usuários deve tomar os cuidados necessários ao deixar um

equipamento sem monitoramento, com seções abertas.



• Controle de Acesso ao SO: – Controle de acesso ao sistema operacional: Identificação automática de terminal: nos

casos onde deve-se conhecer onde um usuário efetua logon.

– Procedimentos de entrada no sistema (log-on). Sugestões como: limitar o número de tentativas erradas para o log-on e não fornecer ajuda no processo de log-on, entre outros.

– Identificação de usuários: a não ser em casos excepcionais cada usuário deve ter apenas um ID. Considerar outras tecnologias de identificação e autenticação: smart cards, autenticação biométrica.

– Sistema de Gerenciamento de Senhas: Contém os atributos desejáveis para sistema que lê, armazena e verifica senhas.


130

Ges

tão

de R

isco

em

TI


• Controle de Acesso às aplicações:– Registro de Eventos: Trilha de auditoria registrando exceções e outros eventos

de segurança devem ser armazenados por um tempo adequado.– Monitoração do Uso do Sistema: Os procedimentos do monitoração do uso do

sistema devem ser estabelecidos. Uma análise crítica dos logs deve ser feita de forma periódica.

– Sincronização dos Relógios: Para garantir a exatidão dos registros de auditoria.

ISO 17799 – Controle de Acesso às Aplicações


Deve-se desenvolver planos de contingência para caso de falhas de segurança, desastres, perda de serviço, etc.

Estes planos devem ser documentados, e o pessoal envolvido treinado. Os planos de contingência devem ser testados regularmente, pois tais planos quando concebidos teoricamente, podem apresentar falhas devido a pressupostos incorretos, omissões ou mudança de equipamento ou pessoal.

ISO 17799 – Continuidade de Negócio

131

Ges

tão

de R

isco

em

TI



ISO 17799 – Componentes do Plano de Continuidade de Negócio

• Condições para a ativação do plano;• Procedimentos de emergência a serem tomados;• Procedimentos de recuperação para transferir atividades essenciais para

outras localidades, equipamentos, programas, entre outros;• Procedimentos de recuperação quando do estabelecimento das

operações;• Programação de manutenção que especifique quando e como o plano

deverá ser testado;• Desenvolvimento de atividades de treinamento e conscientização do

pessoal envolvido;• Atribuição de responsabilidades.

ISO 17799 – Conformidade• Conformidade com Requisitos Legais: Para evitar a violação de qualquer lei,

estatuto, regulamentação ou obrigações contratuais. Evitar a violação de Direitos Autorais dos aplicativos.

• Análise Crítica da Política de Segurança e da Conformidade Técnica.• Considerações referentes Auditoria de Sistemas.

132

Ges

tão

de R

isco

em

TI



Este conjunto de normas ISO/IEC são o mais importante referencial de Segurança da Informação. Estas normas substituíram a normas BS 7799-2 (referente à Gestão de Segurança da informação) e ISO 17799 Código de Boas Práticas da Gestão de Segurança da Informação). No Brasil, algumas empresas jáconseguiram obter o certificado ISO27001: Serasa, Banco Matone, Samarco, Módulo Security, Unisys, Prodespe SERPRO.Como resultado destas novas normas, a listagem das normas ISO de Segurança da Informação será a seguinte:

ISO 27000 - Vocabulário de Gestão da Segurança da Informação (sem data de publicação).

ISO 27001 - Esta norma foi publicada em Outubro de 2005 e substituiu a norma BS 7799-2 para Certificação de sistema de gestão de segurança da informação.

ISO 27002 - Este standard irá substituir em 2006/2007 o ISO 17799:2005 (Código de Boas Práticas).

ISO 27003 - Este novo standard abordará a gestão de risco, contendo recomendações para a definição e implementação de um sistema de gestão de segurança da informação. Deverá ser publicada em 2006.

ISO 27004 - Incidirá sobre os mecanismos de mediação e de relatório de um sistema de gestão de segurança da informação. A sua publicação deverá ocorrer em 2007.

ISO 27005 - Será constituída por indicações para implementação, monitorização e melhoria contínua do sistema de controles. O seu conteúdo deverá ser idêntico ao da norma BS 7799-3:2005 – “Information SecurityManagement Systems - Guidelines for Information Security Risk Management”, a publicar em finais de 2005. A publicada da norma como ISO está prevista para meados de 2007.

ISO 27006 - Dentro da série 27000 a última norma será referente à recuperação e continuidade de negócio. Este documento tem o título provisório de “Guidelines for information and communications technology disasterrecovery services”, não estando calendarizado a sua edição.

133

Ges

tão

de R

isco

em

TI



As mudanças mais relevantes na migração para norma ISO/IEC 27001 ocorreram na estrutura do SGSI (sistema de gestão de segurança da informação), quando são destacados aspectos de auditoria interna e indicadores de desempenho do sistema de gestão de segurança e no Anexo A que passou a ter na ISO/IEC 27001 11 seções, pois foi incluída a seção Gestão de Incidentes de Segurança da Informação:

¨5.Política de Segurança da Informação¨6. Organizando a Segurança da Informação¨7. Gestão de Ativos¨8. Segurança em Recursos Humanos¨9. Segurança Física e do Ambiente¨10. Gerenciamento das Operações e Comunicações¨11. Controle de Acessos¨12. Aquisição, Desenvolvimento e Manutenção deSistemas de Informação¨13. Gestão de Incidentes de Segurança da Informação¨14. Gestão da Continuidade do Negócio¨15. Conformidade

De acordo com órgãos certificadores será concedido um tempo para as empresas certificadas em BS7799-2:2002 se adequarem a nova norma ISO/IEC 27001. A média é de 1 ano e meio, então todas as empresa certificadas, se quiserem manter o seu certificado, deverão se revisar seus sistemas e passar por uma auditoria de recertificação migrando para a norma ISO/IEC 27001. A tendência natural é que as empresas passem a buscar a nova norma e aumente o número de certificações no mundo, devido a maior aceitação do padrão ISO com referência universal.

134

Ges

tão

de R

isco

em

TI


Objetivo desta parte:É apresentar a declaração SAS 70SAS70SAS70

135

Ges

tão

de R

isco

em

TI


Para estarem compliance (conformidade) com os requisitos da SOX, as empresas tem que garantir que os serviços de terceiros sejam desenvolvidos em um ambiente controlado cujo risco é gerido de forma continuamente.

SAS 70, Statement on Audit Standard, Declaração Padrão de Auditoria

SAS70SAS70 Statement on Audit Standard 70Statement on Audit Standard 70

É uma norma editada pelo American Institute of Certified Public Accountants para a auditoria de Service OrganizationsEla fornece um guia para auditores envolvidos no processo de auditoria dos controles da empresa de serviço que podem ser parte do sistema de informação da empresa auditada, no contexto de uma auditoria de resultados e relatórios financeiros

Fornecedor A

Fornecedor B

Empresa

136

Ges

tão

de R

isco

em

TI



137

Ges

tão

de R

isco

em

TI


Definição de Controle:Políticas, procedimentos, atividades e mecanismos, desenvolvidos para assegurar que os objetivos de negócios sejam atingidos e que eventos indesejáveis sejam prevenidos ou detectados e corrigidos.

Controle InternoO Que os Executivos Deveriam Questionar?

• Quais as melhores práticas de controle e gestão de riscos? Existem sistemas de controle e gestão que indiquem eventuais falhas de controle (exemplos: fraudes, irregularidades, má-conduta...)?

• Nossos processos e controles para divulgação nos asseguram que todas as informações relevantes foram identificadas, quantificadas e reportadas?

• Nossa estrutura de Governança Corporativa está compatível às necessidades?– Código de Ética (Código de Conduta);– Conselho de Administração; – Comitê de Auditoria; – Comitê Fiscal; e– Parâmetros de razoabilidade para bônus e lucros.

138

Ges

tão

de R

isco

em

TI


Controle Interno. Abordagem:

Controles: PREVENTIVO - Previnem o acontecimento de erros, fraudes, má-conduta ou irregularidades e minimizam os riscos na fonte. (Pró-ativo). (Maior eficácia)

DETECTIVO - Detectam erros, fraudes, má-conduta e irregularidades quando eles ocorrem, geralmente são difíceis de definir ou prever. (Reativo).

RESPOSTA - Controles elaborados para tomar ação corretiva e remediar os danoscausados por erros, fraudes, má-conduta e irregularidades. (Reativo)

Tipos de Controles:AUTOMATIZADO - Controles executados por sistemas automatizados, não dependendo de julgamentos pessoais. Para garantir sua consistência, precisão e tempestividade, é precisoter um sistema seguro e confiável. (Maior eficácia)

MANUAL - Controles manuais executados por pessoas.

Periodicidade:COM PERIODICIDADE DIVERSIFICADA (a cada evento, diário, semanal, quinzenal, mensal, trimestral, semestral, anual…). (a periodicidade do controle deve ser compatível com a frequência do incidência dos eventos de risco cobertos pelo controle).

Abordagem: Prevenção, Detecção e Resposta

Uma abordagem efetiva, direcionada à fraude em negócios e gerenciamento derisco e má-conduta, é uma abordagem que é focada em três objetivos: Prevenção, Detecção e Reposta

139

Ges

tão

de R

isco

em

TI


Controle InternoBenefícios de uma Estrutura de Controles Internos Consistente:

Controle Interno Consistente:Reduz potencial para fraudesConquista (ou reconquista) a confiança dos investidores Observa leis e regulamentaçõesReduz o risco de perda de recursosOtimiza decisões de negócio com maior qualidadeIdentifica operações ineficientesMinimiza denúncias

Controle Interno Inconsistente:Aumenta a exposição a fraudesInformações financeiras imprecisasPublicidade desfavorávelImpacto negativo nos valores das açõesSanções de órgãos de controleProcessos ou outras ações legaisPerda de ativosDecisões de negócio sub-otimizadas

140

Ges

tão

de R

isco

em

TI


Controle Interno. Auditoria InternaO Papel da Auditoria Interna:

O papel da auditoria interna é um elemento chave em atividades de controle, suportando a abordagem da administração para prevenir, detectar e responder àfraude, erros, irregularidades e má-conduta.

Um das funções da Auditoria Interna é o de examinar a efetividade dos controles (realização de testes substantivos), Gestão de Risco, Sistemas, Salvaguarda de Ativos, Contabilidade e Governança.

No geral, a auditoria interna deve ser responsável por:- Planejar e conduzir a avaliação do desenho e efetividade dos controles;

- Ajudar a organização na avaliação das fraquezas dos controle e ajudar a encontrar conclusões quanto a estratégias apropriadas para mitigar estes riscos;

- Comunicar o comitê de auditoria sobre a avaliação dos controles internos e das auditorias, investigações e atividades relacionadas.

141

Ges

tão

de R

isco

em

TI


A SOX, tem duas seções sobre certificação: 302 e 906.

A seção 302 determina um conjunto de procedimentos internos desenhados para garantir a evidenciação financeira.

A seção 906 exige uma certificação pelo Presidente (CEO) e Diretor Financeiro (CFO) acompanhe cada relatório periódico que inclui as demonstrações financeiras

> A SEC adotou a regra exigindo que a certificação seja fornecida como parte de cada relatório anual e trimestral as correspondentes alterações.

> O Presidente e Diretor Financeiro deverão certificar que avaliaram a eficácia dos controles internos e dos procedimentos de divulgação da empresa dentro de 90 dias da data do relatório.

> As regras exigem que a certificação seja incluída em relatórios anuis nos formulários: 10-K, 10-KSB, 20-F e 40-F, relatórios trimestrais nos formulários: 10-Q e 10-QSB e alterações em quaisquer dos relatórios acima mencionados.

Controle Interno. SOX:

142

Ges

tão

de R

isco

em

TI


A seção 404, exige que administração da empresa produza o Internal Control ReportFinancial (ICRF) como parte do informe anual.O informe deve afirmar a responsabilidade da administração em estabelecer e manterprocedimentos e uma estrutura adequada de controle interno para o informe financeiro.

O informe ainda precisa conter uma avaliação, na data do final do ano fiscal mais recente da empresa, da efetividade dos procedimentos e da estrutura de controle interno do emitente do informe financeiro

A firma de auditoria, auditoria externa, precisa atestar a avaliação de controle interno da administração.

A recomendação da SEC, é utilizar o COSO como guia para implementar o Sistema de Controle Interno (SCI)

Controle Interno. SOX:

143

Ges

tão

de R

isco

em

TI


Controle Interno. SOX:Lições Aprendidas:

Questão:

Para quais dos itens abaixo há o maior risco de serem reportadas éesperado o maior volume de fraquezas materiaisnos controles internos?a) Tecnologia da Informaçãob) Reconhecimento de receitac) Gerenciamento do Imobilizadod) Compras e contas a pagare) Impostosf) Recursos Humanosg) Tesourariah) Encerramento e apresentação das demonstrações financeirasi) Outros

Fraquezas Materiais nos Controles Internos

65; 65%4; 4%

7; 7%

4; 4%

2; 2%

7; 7%

4; 4%

7; 7%0; 0%

a) Tecnologia daInformação

b) Reconhecimento dereceitac) Gerenciamento doImobilizadod) Compras e contas apagare) Impostos

f) Recursos Humanos

g) Tesouraria

h) Encerramento eapresentação dasdemonstraçõesfinanceirasi) Outros

Fonte: Síntese e Resultado da 9ª mesa de debates - Sox Update e Avaliação do Ambiente de Controle (COSO) KPMG – 2006/2007

Nota:Para 65%, há uma percepção de que a tecnologia da informação é a que poderá gerar um maior volume de fraquezas materiais. Os demais itens estiveram restritos a uma faixa de 2% a 7%. A título de comparação, pesquisa similar realizada em 2005 teve como resultado uma votação de 57% para TI, o que indica que esta preocupação não é recente e se manteve no mesmo patamar.

144

Ges

tão

de R

isco

em

TI


Estudo de Caso: Melhores Práticas de Governança Corporativa

145

Ges

tão

de R

isco

em

TI


Fonte: http://amanha.terra.com.br/edicoes/229/capa03.asp

Aracruz, que produz 3 milhões de toneladas de celulose por ano, intensificou sua política de prevenção de acidentes com a estruturação da Gestão de Riscos Corporativos (GRC).

Com 279 mil hectares de plantio de eucalipto no Espírito Santo, Bahia, Minas Gerais e Rio Grande do Sul, o programa de gestão de risco da companhia se baseia nos conceitos de ERM. “É um trabalho de fôlego, mas dá resultados: introduz cultura de gestão de risco, cria metodologia e faz compliance,”assegura Isac Zagury, diretor financeiro.

A Aracruz tem um elenco de riscos classificados como Top 10 e depois mais 30 riscos operacionais que se capilarizam por todas as atividades. Entre os dez riscos de maior impacto estão as questões ambientais e os resultados financeiros. “O passivo ambiental é mais difícil de mensurar porque traz conqüências tangíveis e intangíveis”, observa Zagury. Há, afinal, uma forte correlação entre preservação ambiental e formação de imagem de uma empresa, especialmente quando atua na área florestal.


146

Ges

tão

de R

isco

em

TI


A Brasil Telecom (BrT), tem ações negociadas na Bolsa de New York, (NYSE) a partir da lei Sarbanes-Oxley (SOX), a BrT deu início a seu programa de gestão de risco há quatro anos.

Hoje, a companhia tem 2.750 possíveis causas de prejuízos sob diferentes níveis de controle. Diariamente, por exemplo, os gestores da BrT acompanham 220 riscos, que são considerados vitais. Para cada um desses riscos, existem quatro certificações por ano que são apresentadas nos relatórios trimestrais aos acionistas.

Dois desses riscos vitais estão ligados diretamente aos resultados financeiros e foram totalmente automatizados: o setor de faturamento e o de cadastro de clientes.

O sistema de cobrança acompanha todas as chamadas telefônicas feitas pelos usuários e envia automaticamente para a área de cadastro que emite mensalmente as contas. Dar pane em uma dessas áreas é inconcebível. “Imagina, ficar cinco minutos sem faturar”, calcula diretor de governança corporativa.


Fonte: http://amanha.terra.com.br/edicoes/229/capa03.asp

147

Ges

tão

de R

isco

em

TI


Apêndice: AS/NZS 4360:2004

Fonte: http://www.modulo.com.br/checkuptool/artigo_14.htm

AS/NZS 4360:2004 Australian Standard for Risk Management

18/01/2006Geraldo Ferreira - Especialista em Segurança da Informação do Módulo Security Lab

Publicada em 1995 e revisada em 1999, a AS/NZS 4360 é uma norma Australiana / Neozelandesa para gerenciamento de riscos que foi elaborada pela Standards Austrália e Standards New Zealandatravés do Comitê de gestão de riscos (OB-007). É uma norma genérica que fornece orientações para gerenciamento de riscos de qualquer natureza.Ao contrário dos padrões de segurança existentes no mercado, que consideram risco como perigo ou impacto negativo para as organizações, a AS/NZS 4360 parte do princípio que a gestão de riscos tem como finalidade o equilíbrio entre as oportunidades de ganhos e a redução de perdas. Considera risco como "a exposição às conseqüências da incerteza ou como potenciais desvios do que foi planejado ou do que é esperado" e sua principal característica é avaliar considerando tanto os riscos com resultados positivos (ganhos potencias) quanto os riscos com resultados negativos (perdas potenciais), fornecendo uma visão única no gerenciamento de riscos.Para a AS/NZS 4360, a gestão de riscos envolve o estabelecimento de uma infra-estrutura e cultura apropriadas e a aplicação de um método lógico e sistemático para estabelecer contextos, bem como para identificar, analisar, avaliar, tratar, monitorar e comunicar os riscos associados a qualquer atividade, função ou processo, de modo a minimizar perdas e maximizar ganhos para as organizações.As principais etapas do processo de gestão de riscos são:Ilustração 1: AS/NZS 4360:2004 - principais etapas

148

Ges

tão

de R

isco

em

TI


Apêndice: AS/NZS 4360:2004

Fonte: http://www.modulo.com.br/checkuptool/artigo_14.htm

AS/NZS 4360:2004 Australian Standard for Risk Management

• Comunicação e consulta: comunicar e consultar as partes envolvidas internas e externas, conforme apropriado, em cada etapa do processo de gestão de riscos e em relação ao processo como um todo.• Estabelecimento dos contextos: estabelecer os contextos externo, interno e da gestão de riscos nos quais se desenvolverá o restante do processo. Devem ser estabelecidos os critérios em relação aos quais os riscos serão avaliados e deve ser definida a estrutura da análise.• Identificação de riscos: identificar onde, quando, por que e como os eventos podem impedir, atrapalhar, atrasar ou melhorar a consecução dos objetivos.• Análise de riscos: identificar a avaliar os controles existentes. Determinar as conseqüências e a probabilidade e, por conseguinte, o nível de risco. Tal análise deve considerar as diversas conseqüências potenciais e como elas podem ocorrer.• Avaliação de riscos: comparar os níveis de risco estimados com os critérios estabelecidos previamente e considerar o balanço entre os benefícios potenciais e os resultados adversos. Isso possibilita que sejam tomadas decisões quanto à extensão e à natureza dos tratamentos necessários e quanto às prioridades.• Tratamento de riscos: desenvolver e implementar estratégias e planos de ação específicos e econômicos, para aumentar os benefícios potenciais e reduzir os custos potenciais.• Monitoramento e análise crítica: é necessário monitorar a eficácia de todas as etapas do processo de gestão de riscos. Isso é importante para a melhoria contínua.

149

Ges

tão

de R

isco

em

TI


Apêndice: ABNT ISO/IEC Guia 73

A ABNT ISO/IEC Guia 73 define 29 termos da Gestão de Riscos, que foram agrupados nas seguintes categorias: a) Termos básicos; b) Termos relacionados a pessoas e organizações afetadas pelos riscos; c) Termos relacionados à análise/avaliação de riscos; d) Termos relacionados ao tratamento e controle de riscos.

Entretanto, as definições não foram elaboradas para cada área de aplicação da Gestão de Riscos. Cada uma delas procura ser genérica e a mais abrangente possível. O conteúdo do guia é muito mais que um simples “vocabulário”, pois permite aos usuários ter uma boa idéia do que é a Gestão de Riscos. A expectativa do grupo de trabalho que elaborou o ISO Guide 73 é de que profissionais e especialistas das mais diversas áreas, como, por exemplo, finanças, segurança, saúde, e meio ambiente, consigam se entender falando a mesma linguagem

gestao risco em ti

Documents