View
1.344
Download
3
Category
Tags:
Preview:
DESCRIPTION
Palestra para grupo de alunos e professores da Universidade Gama Filho - Rio de JaneiroAborda os principais aspectos da Governança, Risco e Compliance nas organizações, estuda a integração de temas como Governança em TI, Gestão de Serviços, ITIL, COBIT, PMBOK, dentre outros assuntos emergentes no mundo de tecnologia da informação e sua gestão.
Citation preview
GRC - Governando a TI (Governança), com sabedoria (Gestão de Riscos) e como todos esperam (Compliance)
Gustavo Lens MinarelliGerente de Projetos
CGEIT, ITIL, ISO27001 Lead Auditor, COBIT, ISMAS
gustavo.minarelli@gmail.com
• Quais são os mistérios que envolvem este novo tema?
• Quais os benefícios de cada uma destas disciplinas, tão importantes na Gestão Moderna dos investimentos em tecnologia nas organizações. • Como é possível fazer com que a estratégia de TI faça parte da estratégia de negócios? • Dicas para que os novos profissionais ganhem destaque nesta nova ordem do mercado, e para que os mais experientes aproveitem esta nova oportunidade!
Agenda
� O que é GRC, qual sua importância?
� O cenário nas empresas?
� Governança
� Gestão de Riscos
� Compliance
� Esta bem, como fazer GRC?
Como estamos hoje?
� A tendência (o mais fácil) é que nos agarremos a pedaços de informações sem uma análise do quadro maiorquadro maior
� Atacamos os meios, sem método e às vezes sem nem mesmo conhecer o problema.
As metas das organizações
Entregar valor para os negócios
Com um risco aceitável
Gerenciando com eficiênciaeficiência
Com uso eficiente de recursos
Como saber se esta tudo bem?
Quem define o que é valor são as partes interessadas
Quem aceita os riscos são as partes interessadas
Quem define o que é gerenciar corretamente são as corretamente são as partes interessadas
Quem dá os recursos necessários são as partes interessadas
Como a maior parte das organizações estão hoje?
Tentamos nos agarrar a metodologia isoladas, em busca de uma solução mágica para os
problemas das organizações
Frameworks, padrões, modelos, …
ISO/IEC 27001COBIT 4.1
ANS RN 114
BS 7799NIST 800-53
PCI-DSS
BASEL II
ISO 15408
eSCM
ISO Guide 73
ANS RN 114
COSO
BS 25999
ISO/IEC TR 13335
ITILISO DIS 31000
BS 25999:1 2006
ISO/IEC 17799
BC 3380
AS/NZS 4360
ISO 3WD 25700BITS
BC 2553
ISO 15408
HIPAA FISMA
ISO/IEC 27005
CMM
Assim, vivemos uma época em que esta sendo necessário gerenciar os negócios com um pé no acelerador
e outro no freio
Frameworks, padrões, modelos, …
....mas, acelerar continua sendo a prioridade das empresas
Uma constatação do óbvio
O método é um instrumento para resolver problemas e não para resolver problemas e não a solução em si
•Intelecto
Época de mudanças
Renascença
•Intelecto•Assimilação de conhecimento•Estruturas sociais•Educação•Arte•Ciência
.... e de conflitos
Oportunidade!
Ameaça!
O que é GRC?
Governança
Gestão de RiscosCompliance
“GRC é uma das principais prioridades dos negócios”
Uma nova onda
Objetivos de Controle de TI para atender Sarbanes Oxley
E agora?
Situação atual das organizações
Fonte: Open Compliance & Ethics Group
Ilhas organizacionaise funcionais
GRC: Situação desejavel
Fonte: Open Compliance & Ethics Group
IT
Benefícios do GRC
• Valor das ações
• Confiabilidade e o prestígio da organização
• Fraudes
• Perdas (ex: multas, incidentes operacionais)
• fidelidade dos acionistas, sócios, direção, colaboradores, parceiros , • fidelidade dos acionistas, sócios, direção, colaboradores, parceiros , fornecedores....
• Competitividade, melhorando a capacidade da organização tomar decisões rápidas e certeiras
• Melhora a comunicação na empresa, aumentando a confiança e a “boa vontade”
• Promove a sustentabilidade da empresa
- Transparência- Manutenção dos ideais com (Confiança e Integridade)- Responsabilidade da organização com a sociedade
E Você no GRC?
• Mude a forma de pensar
• Faça os outros mudarem também (seja um agente da mudança)
• Aproveite as oportunidade que estão surgindo• Aproveite as oportunidade que estão surgindo
• Ganhe respeito e prestígio
• Faça os deveres do dia-a-dia
• Mantenha equilíbrio entre detalhe (micro) e a estratégia (macro)
• Planeje-se seja realista no curto prazo e visionário no longo prazo
Governança
Governança de TI
Gestão de RiscosCompliance
Algumas referências
Modelo ISO 38500
Modelo ISO 38500
Governança de TIDefinição MIT
� “Especificação dos direitos decisórios e do framework de responsabilidades para estimular comportamentos desejáveis na área de TI.”
� Governança de TI trata de três questões:� Governança de TI trata de três questões:� Quais decisões devem ser tomadas para garantir a
gestão e o uso eficazes de TI?� Quem deve tomar estas decisões?� Como estas decisões serão tomadas e
monitoradas?
Governança
Governança de TIParalelo com Governança Corporativa
Conselho de AdministraçãoComitê de TI
CEO, CFO, Usuários
Gestão
CIO
Equipe de TI
ObjetivosObjetivos dedeNegóciosNegócios
ServiçosServiçosResultadosResultados
GovernançaAcionistasAssembléia
Conselho de Administração
Governança de TIParalelo com Governança Corporativa
Gestão
CEO
Organização
DirecionamentoDirecionamentoAlinhamentoAlinhamento
TransparênciaTransparênciaResultadosResultados
Referência para TI: Cobit 4
CobiT é reconhecido mundialmente e
adotado como referência por muitas adotado como referência por muitas
empresas como um modelo de
referência para a Governança de TI
Framework Cobit
� Auxilia na inclusão da estratégia de TI na estratégia de
negócios;
� Tem a missão de atender aos objetivos de negócio;
Organiza TI através de um modelo amplamente � Organiza TI através de um modelo amplamente
aceitável;
� Identifica recursos de TI necessários;
� Ajuda a definir objetivos de controle que precisam ser
implementados.
BUSINESS OBJECTIVES ANDGOVERNANCE OBJECTIVES
Efficiency
MONITORAND
EVALUATE
INFORMATION
ITRESOURCES
C O B I TF R A M E W O R K
Effectiveness
Confidentiality
IntegrityAvailability
Compliance
DS1 Define and manage service
ME1 Monitor and evaluate IT performance.
ME2 Monitor and evaluate internal control.
ME3 Ensure compliance with external requirements.
ME4 Provide IT governance.
PO1 Define a strategic IT plan.PO2 Define the information
architecture.PO3 Determine technological
direction.PO4 Define the IT processes,
organization and relationships.PO5 Manage the IT investment.PO6 Communicate management
aims and direction.PO7 Manage IT human resources.PO8 Manage quality.PO9 Assess and manage IT risks.
PLANAND
ORGANISE
Reliability
ApplicationsInformation
InfrastructurePeopleDELIVER
ANDSUPPORT
ACQUIREAND
IMPLEMENT
RESOURCESDS1 Define and manage service
levels.DS2 Manage third-party services.DS3 Manage performance and
capacity.DS4 Ensure continuous service.DS5 Ensure systems security.DS6 Identify and allocate costs.DS7 Educate and train users.DS8 Manage service desk and
incidents.DS9 Manage the configuration.DS10 Manage problems.DS11 Manage data.DS12 Manage the physical
environment.DS13 Manage operations.
PO9 Assess and manage IT risks.PO10 Manage projects.
AI1 Identify automated solutions.AI2 Acquire and maintain
application software.AI3 Acquire and maintain
technology infrastructure.AI4 Enable operation and use.AI5 Procure IT resources.AI6 Manage changes.AI7 Install and accredit solutions
and changes.
Cobit
EffectivenessEfficiencyConfidentialityIntegrityAvailabilityCompliance
IT Process
Business Requirement
Information Criteria
O Cobit é composto por 34 processos de TI,
sendo que um deles é específico para tratar da Avaliação e Gestão dos
Riscos de TI (PO9).
Além disso, para satisfazer os objetivos de negócios, a informação precisa atender critérios de controle, que o COBIT refere como requisitos do negócio para a informação.
Processes
Activities
Domains
IT Processes
ComplianceReliability
IT Resources
Applications
Information
Infrastructure
People
Business Requirement
Control Approach
Consideration• ……………………………• ……………………………• ……………………..……..
informação.
PO9 – Avaliação e Gestão de Riscos em TI
Objetivos de NegociosC
obiT 4
Balanced ScoreCard, Planejamento Estratégico
Integração de TI com os NegóciosVisão do CobiT
Objetivos de TI
Procesos de TI
CobiT
4
Maturidade
Business Goals X IT Goals
IT Goals X IT Processes
Governança
Gestão de Riscos
Gestão de RiscosCompliance
“efeito das incertezas
O que é risco?
“efeito das incertezas nos objetivos”
Risco: Ameaça ou Oportunidade
Falta um vínculo entre o conselho, diretoria e as unidades de negócio
Conselho ExecutivoExecutivo
Falta um vínculo entre o conselho, diretoria e as unidades de negócio
Conselho Executivo
Pessoas
Processos
Tecnologia
Unidades de Negócios
• Não relacionam a Gestão de Riscos aos objetivos estratégicos
• Não identificam ou avaliam completamente os
Oportunidades para o GRC
Conselhos de administração
• Não estabelece o tom para a gestão de riscos.
• Não entende a gestão de riscos como • Não identificam ou avaliam completamente os riscos relacionados a compliance, leis e regulamentações
• Permanecem identificando, apenas, riscos “técnicos”
• Só cumprem, não avaliam
• Só controlam, não avaliam
• Não entende a gestão de riscos como vantagem competitiva.
• Tem mínima participação nas discussões sobre risco da organização
• Possuem pouca visibilidade da Gestão de Riscos das organizações.
• Não comunica expectativas a respeito dos riscos para a gerencia executiva
Apetite ao risco
Quais são os riscos?
Conhecemos nossos riscos?
Quais são os riscos?
Ameaças de Fraude - Integridade
Ameaças de Sabotagem - Disponibilidade
O pior risco é não ter uma gestão
O pior risco...
ter uma gestão de riscos adequada
Quais são os riscos?
Análise de causa-efeito
Fonte: Wikipedia
Árvore de decisão
Riscos Vs Governança de TI (Cobit)
Business Objectives
for achievingevento
efeito
efeito
efeito
i
IT Resources and Processes
Information
Business Processes
Objectives
provide
to
achieving
Exemplo de riscos em TI (adaptado do COBIT)Exemplo de riscos em TI (adaptado do COBIT)
evento
efeito
COSO/ERMEnterprise Risk Management
- COSO/ERM – The Committee of Sponsoring Organizations / Enterprise Risk Management
- Framework de Gestão de Riscos Empresariais (ERM –Riscos Empresariais (ERM –Enterprise Risk Management)
- Concebido inicialmente para atender instituições financeiras através da avaliação de controle internos,
- Expandido para a gestão de riscos operacionais de qualquer natureza
COSO/ERM - Enterprise Risk Management
4 categorias de objetivos
8 componentes interrelacionados
ISO 31000
Desafio de uma linguagem comum
• ISO Guide 73: Risk Management - Vocabulary• ISO 31000: Risk Management – Principles and Guidelines on
implementation
ISO31000 – Gestão de Riscos
Processo de Gestão de Riscos: Aplicação sistemática de políticas de gestão, procedimentos e práticas para as atividades de comunicação, consulta, definição de contexto, identificação, análise, avaliação, tratamento, monitoração e análise crítica
referentes ao risco.
- Escassez de informações- Estatísticas inexistentes- Controles e indicadores inadequados ao
Principais desafios da Gestão de Riscos
- Controles e indicadores inadequados ao contexto dos eventos
- Dificuldades em estimar probabilidades e impacto
Governança
Compliance
Gestão de RiscosCompliance
Fé vs Confiança
Santo Isidoro de SevillaPatrono da Internet ISO 27001
vs
Serie ISO/IEC 27000
Norma Descrição Estágio
27000 Visão Geral e Vocabulário FDIS
27001
Requisitos de Sistemas de Gestão de Segurança
da Informação
Publicada
2005
27002
Código de prática para Gestão da Segurança da
Informação
Publicada
2005
Diretrizes para Implementação de Sistemas de
Série ISO 27000
27003
Diretrizes para Implementação de Sistemas de
Gestão de Segurança da Informação DIS
27004
Métricas de Sistemas de Gestão de Segurança da
Informação DIS
27005 Gestão de Riscos de Segurança da Informação
Publicada
2008
27006
Requisitos para Acreditação das Partes -
Sistemas de Gestão de Segurança da Informação
Publicada
2007
27007
Diretrizes para auditar Sistemas de Gestão de
Segurança da Informação WD
Adoção da ISO27001 no mundo
Pag.62
ISO/IEC 27005 Gestão de Riscospara Segurança da Informação
Pag.63
Visão Integrada
COBIT
COSO
ISO 9000
ISO 17799
ITILO QUÊ COMO
Escopo de cobertura Fonte: Introductory COBITPresentation - ISACA
COBIT e outros frameworks
65
Sarbanes-Oxley Act (SOX)
Fonte: Revista CIO
Por exemplo: ISO 27001 e SOX
67
Por exemplo: Basilea IIEventos de Risco Operacionais e CobiT
68
Por exemplo:
Cartão de Crédito – Padrão de Segurança
Payment Card Industry - Data Security Standard
www.pcisecuritystandards.org/
Motivadores
(Gazeta do Povo) Quadrilha presa lucrava R$ 20 milhõ es por mês com cartões clonadoshttp://portal.rpc.com.br/gazetadopovo/vidaecidadania /conteudo.phtml?id=818455
Como integrar tudo isso?
71
PROCESSOS DE NEGÓCIO
SISTEMAS CHAVE
PROGRAMA DE COMPLIANCE
INVENTARIAR ANALIZAR RISCO AVALIAR RISCO TRATAR RISCOS
CULTURA ORGANIZACIONAL
• Estabelecer políticas e objetivos claros• Implementar e auditar políticas, responsabilidades, processos e procedimentos• Implementar correções e ações preventivas, mantendo a conformidade• Evitar retrabalho, realizando ações integradas para analisar as conformidades
As metas das organizações
Entregar valor para os negócios
Com um risco aceitável
Gerenciando com eficiênciaeficiência
Com uso eficiente de recursos
Como saber se esta tudo bem?
Quem define o que é valor são as partes interessadas
Quem aceita os riscos são as partes interessadas
Quem define o que é gerenciar corretamente são as corretamente são as partes interessadas
Quem dá os recursos necessários são as partes interessadas
Deixe de lado o papel de “Cavaleiro do Apocalípse, pense em 360º
Comprometimento
• GRC afeta toda a organização (TI e Não-TI)• O sucesso de um programa estruturado de GRC depende do
comprometimento do alto escalão (governança)• Não basta só o comprometimento, mas é necessário também o
envolvimento das principais áreas envolvidas (governança)envolvimento das principais áreas envolvidas (governança)
• Uma das formas de começar é:• Coletar métricas sobre as não conformidades (compliance)• Identificar benefícios gerais para os negócios (risco)• Identificar e quantificar o Risco das não conformidades para o negócio
(risco)• Quais as potenciais perdas que serão evitadas (risco)?• Quais os principais ganhos que as melhorias proporcionaram?! (risco)
Comprometimento
• Envolva clientes e fornecedores na sua iniciativa, elas também são interessadas em ajudá-lo a promover a iniciativa na sua organização
• Uma consultoria (opinião isenta) poderá ajudá-lo no • Uma consultoria (opinião isenta) poderá ajudá-lo no esforço de conscientização interno
• Estabeleça um fórum e um comitê de acompanhamento do programa de conformidade
• Evite a tentação de assumir o papel de “mensageiro do apocalipse”
Mude o foco
• Atingimos 150 controles implementados de 599 possíveis
• .......
• Estamos protegendo nossos clientes• Estamos protegendo nossos clientes• Estamos mantendo a operação da nossa organização• Reduzimos a fraudes com cartão de crédito!• Estamos garantindo a rentabilidade dos nossos negócios
Se o seu problema for apenas atingir o “compliance” terá dificuldades de vender o seu projeto para a sua organização
Mude o foco
A decisão final é sempre da alta gerência
A menos que sejam subsidiados de informação lógica e racional sobre o porque eles precisam assumir uma determinada direção,
eles não assumirão
Auxilie o seu executivo a comparar o (até agora) seu problema com outros problemas que estão na agenda da empresa
Você poderá até conseguir investimentos apenas com o argumento de “should be compliance” mas
será o suficiente para investir em 10 cadeados para laptops
Foque nas oportunidades
• Ganhos financeiros com a otimização dos processo
• Criação de um diferencial competitivo• Criação de um diferencial competitivo• Aumento das vendas• Valorização da marca• ....
Ex: Compliance com PCI
Quando uma empresa tem dados confidenciais roubados sofreimediatamente impactos…….
• Financeiros – Multas, ressarcimento• Código Civil - sanções legais• Código Civil - sanções legais• Perda de credibilidade / Reputação / Imagem• Redução de valor de suas ações
• Perda de mercado- Os clientes NÃO COMPRAM se não se sentirem seguros
• Redução no valor de seus serviços - Os cliente pagam mais por transações seguras!
Lembre-se que GRC significa INTEGRAÇÃO
• Ganhe parceria de outros projetos na sua organização• Não reinvente a roda• Aproveite controles já existentes, você não precisa ter um controle
diferente para cada FRAMEWORK existente no mercado• Invista na parceria com outras áreas de controle ou auditoria • Invista na parceria com outras áreas de controle ou auditoria
interna da organização que tenham objetivos semelhantes aos seus
Entenda como você está
0 1 2
Repetitivo/ Intuitivo
3 4 5
InexistenteInicial/Ad Hoc Definido
Gerenciado yMedido Optimizado
83
Verificar conformidade com as regulamentaçõesas regulamentações
ex: Cobit Vs Sox
Feito com:
Analisar os riscos para osobjetivos dos negócios
IT Goals Vs IT Processes Vs Business Goals
Feito com:
Analisar diferenças entre o estado atual e o desejado e implementar práticas de controle
MejorarAlta
Crit
icid
ade
Alta
ObservarAnalisarpossiveldesperdício
Maturidade
Baja Alta
Baj
a
Crit
icid
ade
Baja Alta
Baj
aMaturidade
Implementando GRC – “Quick Wins”
Gestão de Riscos
Gestão de Continuidadedos Negocios
Governança
Requisitos Legais e Regulatórios
Implementação de Políticas
Workflow e Painel de Controle (Dashboard)
Gap Analysis(Cobit, ISO 27000,
BS 25999, ...)
Negócios/ Visão Executiva / Processos
Lembre-se: TI é parte integral da estratégica
de negócio
Ativos
Sistemas / Serviços
GRC - Governando a TI (Governança), com sabedoria (Gestão de Riscos) e como todos esperam (Compliance)
Gustavo Lens MinarelliGerente de Projetos
CGEIT, ITIL, ISO27001 Lead Auditor, COBIT, ISMAS
gustavo.minarelli@gmail.com
• Quais são os mistérios que envolvem este novo tema?
• Quais os benefícios de cada uma destas disciplinas, tão importantes na Gestão Moderna dos investimentos em tecnologia nas organizações. • Como é possível fazer com que a estratégia de TI faça parte da estratégia de negócios? • Dicas para que os novos profissionais ganhem destaque nesta nova ordem do mercado, e para que os mais experientes aproveitem esta nova oportunidade!
Recommended