Gestão de Riscos de Fornecedores: Lições aprendidas nos campos de batalha!

4.878 visualizações

Publicada em

Acesse nosso site para fazer o download dos slides e assistir a gravação do webinar: http://www.modulo.com.br/comunidade/webinar

Se você não passou os últimos anos em outro planeta, você e seus pares de TI devem ter notado que os riscos de sua cadeia de suprimentos tornaram-se os componentes mais relevantes e complexos de seu programa de Gestão de Riscos e Segurança da Informação.

Neste webinar vamos compartilhar com você as lições que os especialistas da Módulo aprenderam nos últimos anos ao implementar programas e soluções de Gestão de Riscos de Fornecedores de TI, assim como alguns cases de clientes nos Estados Unidos que conseguiram implementar estes processos de forma integrada com seus programas de Gestão de Riscos de TI e Segurança da Informação.

As experiências de profissionais que implementaram programas bem-sucedidos em organizações internacionais de diversos segmentos pode ajudar você a implementar um programa de Gestão de Riscos de Fornecedores de TI de classe mundial.

• Entenda como algumas empresas que estão entre as “Fortune 50” implementaram programas bem-sucedidos de Gestão de Riscos de TI e de Fornecedores;

• Conheça as lições aprendidas por nossos especialistas de gestão de Riscos de Fornecedores que trabalharam nestas implementações;

• Saiba como iniciar a implementação de um programa de Gestão de Riscos de Fornecedores de classe mundial.



Carlos Krause

Diretor Internacional de Serviços Profissionais - Módulo
Krause está na Módulo desde 1998 e como Diretor Internacional de Serviços Profissionais é responsável por todas as equipes de pré e pós venda para nossos clientes atuais e potencias na América do Norte, América Latina, Europa, Ásia e Oriente Médio.

Ele é um palestrante experiente e já foi convidado a se apresentar em grandes eventos internacionais como o Gartner Security and Risk Management, ISACA ISRM, ISACA CACS, MIS Training Institute IT-GRC, além de eventos regionais da ISC2.

Publicada em: Tecnologia
0 comentários
1 gostou
Estatísticas
Notas
  • Seja o primeiro a comentar

Sem downloads
Visualizações
Visualizações totais
4.878
No SlideShare
0
A partir de incorporações
0
Número de incorporações
10
Ações
Compartilhamentos
0
Downloads
0
Comentários
0
Gostaram
1
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Gestão de Riscos de Fornecedores: Lições aprendidas nos campos de batalha!

  1. 1. Carlos Krause Diretor Internacional de Serviços Profissionais Módulo Assista à gravação do webinar e faça o download dos slides: modulo.com.br/comunidade/webinar
  2. 2. APRESENTAÇÃO INSTITUCIONAL
  3. 3. Empresa Softwares: Módulo Risk Manager; Módulo Command & Control Manager; Módulo Smart City Manager; Soluções para: Governança, Riscos e Conformidades de TI; Riscos Corporativos; Infraestrutura Crítica; Smart Cities; Defesa; Segurança Pública. BRASIL Rio de Janeiro São Paulo Brasília Belo Horizonte (Aéras) EUA Atlanta EUROPA Londres ÍNDIA Mumbai Fundação 1985 450 funcionários Grupo Módulo: Aéras Bridge Consulting Thrust RustCon
  4. 4. Clientes BRASIL ANP - Agência Nacional de Petróleo BNDES Caixa Econômica Federal CDCIBER Defesa Civil - CENAD Eletronuclear FMC Technologies Ipiranga Itaú Lojas Americanas ÁFRICA BPC - Banco de Poupança e Crédito, S.A.R.L SISP - Sociedade Interbancária de Sistema de Pagamentos Sonangol - Angola Troy - Angola ÁSIA / ORIENTE MÉDIO Abu Dhabi Urban Development & Planning - Paladion Commercial Bank of Dubai (CBC) Etihad Airways - Paladion Gulf Bank VFS Global EUROPA AIB - Allied Irish Bank Cesce - Portuguese Tax Authority CGD - Caixa Geral de Depositos EDP - Energias de Portugal Global Seguros IGFCSS - Instituto de Gestão de Fundos de Capitalização da Segurança Social Microland Ltd SagePay Sumitomo Mitsui Banking Corporation Unisys EUA / CANADÁ ARC BC Hydroelectric Dell FMC Technologies General Dynamics Land Systems Goodyear Tire & Rubber Co. IBM Johnson & Johnson, Inc. Procter & Gamble Company Sumitomo Mitsui Banking Corporation The College Board The Hershey Company Volkswagen Group VioPoint, Inc. Worldpay US, Inc. AMÉRICA LATINA Banco Central do Peru Banco de la Nación Banco del Chaco Banco Financiero del Perú Banobras Cfmexico Ecopetrol HSBC Presidencia Peru Santander Rio Magazine Luiza Petrobras Prefeitura Municipal do Rio de Janeiro SABESP SESGE / Ministério da Justiça Technip TAM TIM VISA - Cielo S.A VIVO
  5. 5. Empresas Módulo
  6. 6. Empresa do grupo Módulo que atende os mercados de Minas Gerais e Espirito Santo. Nasce do Know How da Módulo e conta com uma equipe técnica especializada na implementação, customização e treinamento do Software Módulo Risk Manager. A equipe de consultoria da Aeras utiliza a Metodologia GRC Metaframework, desenvolvida pela Módulo para apoiar sua organização na criação e melhoria de processos de Governança, Riscos e Conformidades
  7. 7. Uma empresa de Consultoria e Capacitação profissional focada em soluções para desafios de tecnologia da informação e processos de negócio com um único fim – melhorar o desempenho das empresas. Formada por uma equipe de consultores de alto desempenho, com experiencia em projetos de alta complexidade, em organizações públicas e privadas. • Gestão de Processos • Desempenho Empresarial • Estratégia Business Consulting • Certificações ITIL e COBIT • Cursos in Company • Ensino a Distância TrainningIT Consulting • Governança de TI • Gestão de Serviços de TI • Engenharia de Software • Consultoria ITIL e Cobit
  8. 8. Startup incubada no Instituto Genesis, da PUC Rio de Janeiro, especializada em desenvolvimento de soluções móveis para comunicação inteligente. ZAPR ZAPR Solução corporativa para comunicação segura e colaborativa.
  9. 9. Prêmios, Certificações e Reconhecimentos Qualified Security Assessor Desenvolvimento e inovação tecnológica no Brasil 2014 2011 2010 2008 2006 Módulo Risk Manager avaliado pelos mais importantes institutos de pesquisa e analistas de TI do mundo como uma das melhores soluções do mercado 2011 2012 2014 2012 2013 2014 Principal publicação do setor nos EUA 2011 2012 2013 2014
  10. 10. Certificações 1º software a receber a Certics A CERTICS foi criada para comprovar se um software é resultado de desenvolvimento e inovação tecnológica no País. Ao identificar esses softwares, que geram desenvolvimento, competências, autonomia tecnológica, capacidade inovativa e negócios baseados em conhecimento no País, a CERTICS potencializará o desenvolvimento do mercado brasileiro de TI.
  11. 11. Modelo de Consultoria Módulo Metodologia alinhada às melhores práticas do PMBOK e em conformidade com normas internacionais para Segurança da Informação e Gestão de Riscos.
  12. 12. Visão 360º dos Riscos e Vulnerabilidades da sua organização Automatiza os processos de inventário, avaliação, análise e o tratamento e monitoramento dos Riscos físicos e cibernéticos, generncia a Conformidade com normas e políticas, e Integra sistemas legados de todas as disciplinas, permite uma visão holística da segurança e através de relatórios e dashbords integrados aprimora a Governança.
  13. 13. Automação GRC Caos Ordem Processos e visões desorganizados e não integrados Processos e visões organizados e integrados Automação
  14. 14. Carlos Krause Diretor Internacional de Serviços Profissionais Módulo Krause está na Módulo desde 1998 e como Diretor Internacional de Serviços Profissionais é responsável por todas as equipes de pré e pós venda para nossos clientes atuais e potencias na América do Norte, América Latina, Europa, Ásia e Oriente Médio. Ele é um palestrante experiente e já foi convidado a se apresentar em grandes eventos internacionais como o Gartner Security and Risk Management, ISACA ISRM, ISACA CACS, MIS Training Institute IT-GRC, além de eventos regionais da ISC2.
  15. 15. Rich Licato, CISO, Airlines Reporting Corporation Carlos Krause, Global Director of Services, Modulo Security
  16. 16. Agenda • Processo / Metodologia • Stakeholders • Perfil de Risco do Fornecedor • Contratos • Informações e Questionarios • Automação • Indicadores e Monitoramento • Conclusão • Perguntas & Respostas
  17. 17. Pesquisa 1- Qual o Nível de Maturidade de Gestão de Riscos de Fornecedores em sua organização? Escolha somente 1 opção, após 1 minuto apresentaremos os resultados (as respostas são anônimas para a audiência, somente serão apresentados os dados em %) a) Não existente b) Estamos desenhando a visão inicial c) O road map e as metas já estão definidos d) Está implementado e funcionando e) Melhoria contínua – Benchmarking e melhores práticas implementados
  18. 18. Pesquisa 2- Ferramentas utilizadas na Gestão de Riscos de Fornecedores em sua organização? Escolha somente 1 opção, após 1 minuto apresentaremos os resultados (as respostas são anônimas para a audiência, somente serão apresentados os dados em %) a) E-mails e Planilhas b) Sistema desenvolvido internamente utilizado só para TI c) Sistema desenvolvido internamente utilizado para toda a organização d) Software de Gestão de Riscos de Fornecedores e) Plataforma de GRC com Gestão de Riscos de Fornecedores
  19. 19. Guia
  20. 20. Definição de Processo Fonte: ISACA • Requisitos • Chamada para propostas • Avaliação • Seleção dos melhores • Negociação Preparação • Entendimento • Entregas • SLAs • Métricas • Custos • Base Legal Contrato • Transição • Gestão das operações Operação • Passagem operacional • Transmissão de conhecimento para o novo fornecedor Passagem Gestão de Mudanças em Contratos Figura 1 – Ciclo de Vida das Relações Contratuais
  21. 21. Source: OCED Seleção - Definir necessidades de negócio - Definir Requisitos - Avaliar Fornecedores Início - Coleta inicial de dados do fornecedor - Verificação OFAC* - Ranqueamento inicial de Risco (classificação) Gestão do Contrato - Avaliar Clausulas - Padronizar Termos - Revisão dos stakeholders - Execução do Contrato Gestão e Monitoramento Riscos e Conformidades - Identificação dos riscos - Calculo dos Riscos - Verificação PCI / SIG Lite - Verificação OFAC* - Avaliação Financeira Contínua Gestão de Incidentes - Gestão de problemas e incidentes - Canais de comunicação e relatórios Auditoria - Calendário - Atestação de Código de Conduta - Validação de Riscos e Performance Definição de Processo
  22. 22. Avaliação de Riscos: metodologia e indicadores Fonte: ISO 31000 Comunicaçãoeconsulta(5.2) Monitoramentoeanálisecrítica(5.6) Estabelecimento do contexto (5.3) Identificação dos riscos (5.4.2) Análise dos riscos (5.4.3) Avaliação dos riscos (5.4.3) Tratamento dos riscos (5.5) Processo de avaliação de riscos (5.4) Priorização Risco Probabilidade Possibilidade Padrões do Security Lab Severidade =Impacto Padrões do Security Lab Relevância Negócios Critérios de Gestão Cálculo Risco = Probabilidade x Severidade x Relevância Muito Alto Alto Médio Baixo Muito Baixo
  23. 23. “Amigos, lá você tem” Outros • Privacidade • Seguros Fonte: ISACA Figura 2 – Matriz RACI Gestão de Fornecedores Stakeholders Ciclo de Vida da Relação Contratual Preparação Contrato Operações Passagem Executivos C-Level A A A A Donos de Processos de Negócio R R I R Compras R R I R Jurídico R R C C Funções de Risco C C R R Auditoria e Conformidades C C C C TI R R R R Segurança R C R C Recursos Humanos C C C C
  24. 24. Níveis Definições I Fornecedor Estratégico: • Fornece produtos / serviços únicos que geram competitividade e diferenciação • Compartilhamento de informações estratégicas sensíveis • Alto impacto na criação de valor para acionistas e para a marca • Muito difícil de substituir devido a complexidade ou características únicas II Fornecedor Operacional: • Fornecedores-chave, funcionalidades e níveis de serviço integrados / customzados • Possível impacto na marca – negative ou positivo • Compartilhamento de informações operacionais • Involvimento em atividades relevantes e interação diária com processos de negócio. • Substituição é possível – existem competidores disputando mercado III Commodity: • Produtos e serviços “de prateleira”; muitas opções • Compartilhamento de informações táticas quando necessário • Baixo impacto na marca – negative ou positivo • Fácil substituição – muita competição Perfil de Risco do Fornecedor Estratégico Operacional Commodity
  25. 25. Perfil de Riscos do Fornecedor Avaliação e Monitoramento Contínuo Níveis Definições I Fornecedor Estratégico: • Ciclo Anual • Relatórios de Conformidade com SSAE16 • Relatórios de Conformidade com PCI • Diligencias no Fornecedor “On-Site” II Fornecedor Operacional: • Ciclo Bianual • Pode ser antecipado caso haja incidentes/ocorrências • Relatórios de Conformidade com SSAE16 • Relatórios de Conformidade com PCI • Questionário de auto-avaliação III Commodity: • Ciclo trianual • Pode ser antecipado caso haja incidentes/ocorrências • Questionário de auto-avaliação
  26. 26. • Padronização de termos / linguagem • Boas Práticas/ frameworks • Requisitos regulatórios • Requisitos de proteção de dados • SLAs: - Responsabilidade do Fornecedor - Responsabilidade do Cliente • Sub-contratações • Remediação de deficiências • Notificação de problemas • Revisão / auditorias periódicas Contratos
  27. 27. • Perfil – questionário interno • Questionário de risco- enviado aos fornecedores • Itens para o questionário - Políticas - Relatórios de auditorias externas (Ex: SSAE16) - Outros • Equipe de avaliação – centralizada? • Verificação no local • Análise de terceirizações: Processos & Tecnologias Levantamento de Informações
  28. 28. • Levante as informações dos Stakeholders • Questionário padrão de levantamento de informações (Standardized Information Gathering -SIG) / SIG Lite • Questões obrigatórias • Anexar evidências das respostas Perguntas padronizadas
  29. 29. Fonte: SIG 2015 – Shared Assessments Contole, contole, você precisa aprender a contolar!
  30. 30. Automação “Tentar não. Faça... ou não. Tentar não existe." Tempo Recursos Fornecedores Identificados Processos automatizados aceleram a identificação e priorização de riscos Alocação de tempo e recursos são otimizados Risco Baixo Risco Médio Risco Alto
  31. 31. Análisar
  32. 32. Avaliar Custo Alto Risco Baixo Custo Alto Risco Alto Custo Baixo Risco Baixo Custo Baixo Risco Alto Deve ser avaliado com cuidado Prioridade alta de tratamento Oportunidade de remediação e redução do risco total Oportunidade de aceitar ou criar exceções
  33. 33. Métricas e Monitoramento das ações
  34. 34. Visão sistêmica de Fornecedores
  35. 35. • “Conhece-te a ti mesmo” • Crie processos • Envolva os stakeholders do alto escalão • Crie um contrato claro (linguagem correta) • Crie “Perfis de Riscos” • Faça perguntas • Avalie as respostas e as evidências • Automatize o máximo que conseguir • Monitore e meça • Aperfeiçoe e repita Sumário
  36. 36. Quer mais informações? Agende uma apresentação para sua organização atendimento@modulo.com.br Visite nosso site (21) 2123-4604 Siga nossas redes sociais www.modulo.com.br Assista à gravação do webinar e faça o download dos slides: modulo.com.br/comunidade/webinar
  37. 37. Obrigado! Assista à gravação do webinar e faça o download dos slides: modulo.com.br/comunidade/webinar

×