SlideShare uma empresa Scribd logo

Risco - um fator estratégico

Shield Consulting
Shield Consulting

O documento discute a gestão de riscos, definindo risco como a combinação entre a probabilidade e o impacto de eventos futuros. A análise de riscos identifica eventos, avalia probabilidades e impactos. A gestão de riscos busca garantir que objetivos estratégicos de negócio não sejam comprometidos por falhas de TI, requerendo revisão e aprovação da alta gestão no plano de ação. A gestão de riscos deve ser um processo contínuo de monitoramento e avaliação.

Tecnologia
1 de 36
Baixar para ler offline
Risco Um fator estratégico Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados. www.ShieldSaaS.com contato@ShieldSaaS.com
Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados. VAMOS COMEÇAR?
Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados. Impacto Frequência Risco
Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados. O que é risco? A que riscos estou exposto? Qual o meu apetite ao risco? Como mensuro o meu risco?
Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados. Risco é... ...o resultado objetivo da combinação entre a probabilidade de ocorrência de um determinado evento, aleatório, futuro e o impacto resultante caso ele ocorra.
Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados. • O conceito de risco é associado à ideia de futuro • O risco no passado é evento, e não mais risco • O estudo de riscos é baseado em probabilidades e estudos de eventos passados
Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados. Gestão Equipes Frameworks TI x negócio Ciclo
Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados. Gestão de riscos Sob a visão do negócio
Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados. Processos Presidência Financeiro RH TI SI Produto Marketing Equipes Sistemas Ambientes Documentos Fornecedores
Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados. ProcessosTI como vetor de ameaça Presidência Financeiro RH TI SI Produto Marketing Equipes Sistemas Ambientes Documentos Fornecedores Riscos do negócio Riscos Financeiros Riscos de RH Riscos de TI Riscos de compliance Riscos de produtos Riscos de imagem
Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados. TI como vetor de ameaça Se os riscos de TI são tão vitais, como isso afeta e gera riscos para o negócio?
Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados. TI como vetor de ameaça
Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados. Magnitude Frequência Como percebemos o risco? Oportunidades Baixo Médio Alto
Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados. Magnitude Frequência Como percebemos o risco? Planeja realizar Aceita Controla Nega ou evita
Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados. Como percebemos o risco? Apetite ao risco: Quantidade de risco definida pelo board que se está disposto a assumir em prol do atendimento à sua missão estratégica importantes
Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados. Como percebemos o risco? importantes Tolerância ao risco: Variação aceitável relativa ao atingimento de uma meta ou objetivo
Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados. • Maneira como os envolvidos compreende as consequências pelo potencial da ocorrência do risco • Está diretamente relacionada a experiências anteriores e expectativas futuras • A percepção de risco tende à psicologia
Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados. - Demonstrar maturidade gerencial - Suporte no direcionamento estratégico - Condição para abertura de capital - Atendimento a regulamentação Outros benefícios estratégicos
Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados. Equipes envolvidas
Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados. Accountability Relacionado àqueles que possuem os recursos e tem a autoridade para aprovar a execução e ou aceitar a saída que venha de uma atividade Responsibility Relacionado àqueles que devem garantir que as atividades foram cumpridas conforme os requisitos definidos
Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados. Presidência Financeiro RH TI SI Produto Marketing
Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados. Board CIO CEO CRO CFO Comitês de risco Gestores PMO Controles internos RH Auditoria Responsável ou parcialmente accountable Totalmente accountable
Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados. Comunicação de Riscos Capacidade de tratamento Status e indicadores Expectativas estratégicas
Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados. Comunicação de Riscos Programa de gestão de riscos Indicadores e métodos de métricas Procedimentos, material de conscientização Avaliação de maturidade segundo framework
Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados. TI x Negócio
Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados. Processos Presidência Financeiro RH TI SI Produto Marketing Equipes Sistemas Ambientes Documentos Fornecedores
Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados. Os principais projetos da organização dependem de ..... As boas práticas do ITIL sugerem o ponto central de contato na ....... A ...... é responsável pela guarda de informações e dados em backup O orçamento da ....... é historicamente um dos maiores em grande parte das organizações Em geral, quando a organização vai expandir, a “infantaria” é representada pela .....
Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados. Frameworks
Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados. Complementa o CobiT4.1 no sentido de gestão e percepção estratégica de riscos de TI no processo de gestão estratégica da governança de TI. Suporta o mercado de riscos (financeiro) com visões estratégicas sobre os riscos da organização Norma da família ISO 27000 dedicada a tratar do tema “Gestão de Riscos” com o enfoque em segurança da informação Norma Australiana-Neozelandesa para tratamento e gestão de riscos. Uma das referências que cita “risco” como podendo ser positivo (oportunidade) Norma ISO publicada no final de 2011 com enfoque em unificar o tema dando um cunho geral e não só de TI ou financeiro É um conjunto de ferramentas, técnicas e métodos para Avaliações de risco de segurança da informação e planejamento estratégico. OCTAVE Risk IT (CobiT 4.1) AS/NZS 4360 COSO ISO 27005 ISO 31000
Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados. Ciclo e manutenção Modelo da ISO 27005
Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados. AAR Análise de Riscos Definição de contexto Identificação de riscos Estimativa de riscos Avaliação de riscos ComunicaçãodoRisco Avaliação satisfatória? MonitoramentoeAnáliseCríticadeRiscos Tratamento do Risco Aceitação do risco O tratamento foi satisfatório?
Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados. Para anotar Finalizando...
Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados. Risco e a combinação entre a probabilidade de ocorrência de um determinado evento e o impacto resultante caso ele ocorra. AAnálise de Riscos é o processo pelo qual são relacionados os eventos, os impactos e avaliadas as probabilidades destes se concretizarem O gerenciamento de riscos busca garantir que os objetivos estratégicos de negocio não sejam expostos por falhas de TI A alta direção deve revisar e aprovar o plano de ação (accountability) O gerenciamento de riscos deve ser um processo contínuo e em constante
Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados. Obrigado Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados. www.ShieldSaaS.com www.slideshare.net/ShieldSaaS www.Facebook.com/ShieldSaaS www.twitter.com/ShieldSaaS contato@ShieldSaaS.com

Recomendados

Auditoria mau necessário ou bem maior
Auditoria mau necessário ou bem maiorAuditoria mau necessário ou bem maior
Auditoria mau necessário ou bem maior
Shield Consulting
 
Si segurança e privacidade (1Sem2014)
Si segurança e privacidade (1Sem2014)Si segurança e privacidade (1Sem2014)
Si segurança e privacidade (1Sem2014)
Pedro Garcia
 
Palestra Jeferson D'Addario Governança de Riscos
Palestra Jeferson D'Addario Governança de RiscosPalestra Jeferson D'Addario Governança de Riscos
Palestra Jeferson D'Addario Governança de Riscos
Daryus Strategic Risk Consulting
 
Mod01 introdução
Mod01 introduçãoMod01 introdução
Mod01 introdução
Fernando Palma
 
Gestão de Riscos da Segurança da Informação
Gestão de Riscos da Segurança da Informação Gestão de Riscos da Segurança da Informação
Gestão de Riscos da Segurança da Informação
danilopv
 
Aula03
Aula03Aula03
Aula03
paulopcc
 
Enterprise Information Security Mgmt - OverView
Enterprise Information Security Mgmt - OverViewEnterprise Information Security Mgmt - OverView
Enterprise Information Security Mgmt - OverView
Jairo Willian Pereira
 
Asuntos comerciales 5º
Asuntos comerciales 5ºAsuntos comerciales 5º
Asuntos comerciales 5º
brisagaela29
 

Recomendados

Auditoria mau necessário ou bem maior
Auditoria mau necessário ou bem maiorAuditoria mau necessário ou bem maior
Auditoria mau necessário ou bem maior
Shield Consulting
 
Si segurança e privacidade (1Sem2014)
Si segurança e privacidade (1Sem2014)Si segurança e privacidade (1Sem2014)
Si segurança e privacidade (1Sem2014)
Pedro Garcia
 
Palestra Jeferson D'Addario Governança de Riscos
Palestra Jeferson D'Addario Governança de RiscosPalestra Jeferson D'Addario Governança de Riscos
Palestra Jeferson D'Addario Governança de Riscos
Daryus Strategic Risk Consulting
 
Mod01 introdução
Mod01 introduçãoMod01 introdução
Mod01 introdução
Fernando Palma
 
Gestão de Riscos da Segurança da Informação
Gestão de Riscos da Segurança da Informação Gestão de Riscos da Segurança da Informação
Gestão de Riscos da Segurança da Informação
danilopv
 
Aula03
Aula03Aula03
Aula03
paulopcc
 
Enterprise Information Security Mgmt - OverView
Enterprise Information Security Mgmt - OverViewEnterprise Information Security Mgmt - OverView
Enterprise Information Security Mgmt - OverView
Jairo Willian Pereira
 
Asuntos comerciales 5º
Asuntos comerciales 5ºAsuntos comerciales 5º
Asuntos comerciales 5º
brisagaela29
 
Introdução às Metodologias Ágeis de Desenvolvimento
Introdução às Metodologias Ágeis de DesenvolvimentoIntrodução às Metodologias Ágeis de Desenvolvimento
Introdução às Metodologias Ágeis de Desenvolvimento
Jerry Medeiros
 
Entorno a la cultura escrita esquema
Entorno a la cultura escrita esquemaEntorno a la cultura escrita esquema
Entorno a la cultura escrita esquema
galis-galis-23
 
Eco-Escolas - Resultados dos questionários aos alunos
Eco-Escolas - Resultados dos questionários aos alunosEco-Escolas - Resultados dos questionários aos alunos
Eco-Escolas - Resultados dos questionários aos alunos
Escolas de Soure
 
trabajo de almacenamiento en las nubes
trabajo de almacenamiento en las nubestrabajo de almacenamiento en las nubes
trabajo de almacenamiento en las nubes
chispita97
 
Ensamble y desensamble
Ensamble y desensambleEnsamble y desensamble
Ensamble y desensamble
maryacupitra2015
 
Concurso brasilia ano 53 regulamento
Concurso brasilia ano 53 regulamentoConcurso brasilia ano 53 regulamento
Concurso brasilia ano 53 regulamento
Fmoreira4
 
Trabalho .
Trabalho .Trabalho .
Trabalho .
Andre Huang
 
Segurança da Informação com Windows Server
Segurança da Informação com Windows ServerSegurança da Informação com Windows Server
Segurança da Informação com Windows Server
Guilherme Lima
 
Gestão riscos estratégicos
Gestão riscos estratégicosGestão riscos estratégicos
Gestão riscos estratégicos
Symnetics Business Transformation
 
Gestão de Riscos e Continuidade de Negócios
Gestão de Riscos e Continuidade de NegóciosGestão de Riscos e Continuidade de Negócios
Gestão de Riscos e Continuidade de Negócios
Alvaro Gulliver
 
Gerenciamento de riscos abordando os assuntos tratados no PMBOK®, ISO 31000 e...
Gerenciamento de riscos abordando os assuntos tratados no PMBOK®, ISO 31000 e...Gerenciamento de riscos abordando os assuntos tratados no PMBOK®, ISO 31000 e...
Gerenciamento de riscos abordando os assuntos tratados no PMBOK®, ISO 31000 e...
Jefferson Oliveira
 
Aula 101217070257-phpapp02
Aula 101217070257-phpapp02Aula 101217070257-phpapp02
Aula 101217070257-phpapp02
asbgrodrigo
 
Shield 2013
Shield 2013Shield 2013
Shield 2013
Shield Consulting
 
Whitepaper dtp-directors-managing-risk-pt
Whitepaper dtp-directors-managing-risk-ptWhitepaper dtp-directors-managing-risk-pt
Whitepaper dtp-directors-managing-risk-pt
Lafaiete Alves Ferreira Netto
 
Governança de segurança da informação - Overview
Governança de segurança da informação - OverviewGovernança de segurança da informação - Overview
Governança de segurança da informação - Overview
Data Security
 
Seminario iso 27000 pronto
Seminario iso 27000 prontoSeminario iso 27000 pronto
Seminario iso 27000 pronto
Angélica Mancini
 
Cobit 5 - APO13 - Gestão da Segurança da Informação
Cobit 5 - APO13 - Gestão da Segurança da InformaçãoCobit 5 - APO13 - Gestão da Segurança da Informação
Cobit 5 - APO13 - Gestão da Segurança da Informação
Fabiano Da Ventura
 
Gestão de Riscos by Lacertae SW
Gestão de Riscos by Lacertae SWGestão de Riscos by Lacertae SW
Gestão de Riscos by Lacertae SW
Rogerio P C do Nascimento
 
Gestaode Riscos - Lacertae Sw
Gestaode Riscos - Lacertae SwGestaode Riscos - Lacertae Sw
Gestaode Riscos - Lacertae Sw
Anderson Freire .'.
 
ISO 27001 -3
ISO 27001 -3 ISO 27001 -3
ISO 27001 -3
jcfarit
 
Perfil corporativo web
Perfil corporativo webPerfil corporativo web
Perfil corporativo web
72security
 
Sk3 folder aicon
Sk3 folder aiconSk3 folder aicon
Sk3 folder aicon
Marco Antonio De Paula
 

Mais conteúdo relacionado

Destaque

Eco-Escolas - Resultados dos questionários aos alunos
Eco-Escolas - Resultados dos questionários aos alunosEco-Escolas - Resultados dos questionários aos alunos
Eco-Escolas - Resultados dos questionários aos alunos
Escolas de Soure
 
Concurso brasilia ano 53 regulamento
Concurso brasilia ano 53 regulamentoConcurso brasilia ano 53 regulamento
Concurso brasilia ano 53 regulamento
Fmoreira4
 

Destaque (7)

Introdução às Metodologias Ágeis de Desenvolvimento
Introdução às Metodologias Ágeis de DesenvolvimentoIntrodução às Metodologias Ágeis de Desenvolvimento
Introdução às Metodologias Ágeis de Desenvolvimento
 
Entorno a la cultura escrita esquema
Entorno a la cultura escrita esquemaEntorno a la cultura escrita esquema
Entorno a la cultura escrita esquema
 
Eco-Escolas - Resultados dos questionários aos alunos
Eco-Escolas - Resultados dos questionários aos alunosEco-Escolas - Resultados dos questionários aos alunos
Eco-Escolas - Resultados dos questionários aos alunos
 
trabajo de almacenamiento en las nubes
trabajo de almacenamiento en las nubestrabajo de almacenamiento en las nubes
trabajo de almacenamiento en las nubes
 
Ensamble y desensamble
Ensamble y desensambleEnsamble y desensamble
Ensamble y desensamble
 
Concurso brasilia ano 53 regulamento
Concurso brasilia ano 53 regulamentoConcurso brasilia ano 53 regulamento
Concurso brasilia ano 53 regulamento
 
Trabalho .
Trabalho .Trabalho .
Trabalho .
 

Semelhante a Risco - um fator estratégico

Certificacao iso 27001
Certificacao iso 27001Certificacao iso 27001
Certificacao iso 27001
Andre Verdugal
 

Semelhante a Risco - um fator estratégico (20)

Segurança da Informação com Windows Server
Segurança da Informação com Windows ServerSegurança da Informação com Windows Server
Segurança da Informação com Windows Server
 
Gestão riscos estratégicos
Gestão riscos estratégicosGestão riscos estratégicos
Gestão riscos estratégicos
 
Gestão de Riscos e Continuidade de Negócios
Gestão de Riscos e Continuidade de NegóciosGestão de Riscos e Continuidade de Negócios
Gestão de Riscos e Continuidade de Negócios
 
Gerenciamento de riscos abordando os assuntos tratados no PMBOK®, ISO 31000 e...
Gerenciamento de riscos abordando os assuntos tratados no PMBOK®, ISO 31000 e...Gerenciamento de riscos abordando os assuntos tratados no PMBOK®, ISO 31000 e...
Gerenciamento de riscos abordando os assuntos tratados no PMBOK®, ISO 31000 e...
 
Aula 101217070257-phpapp02
Aula 101217070257-phpapp02Aula 101217070257-phpapp02
Aula 101217070257-phpapp02
 
Shield 2013
Shield 2013Shield 2013
Shield 2013
 
Whitepaper dtp-directors-managing-risk-pt
Whitepaper dtp-directors-managing-risk-ptWhitepaper dtp-directors-managing-risk-pt
Whitepaper dtp-directors-managing-risk-pt
 
Governança de segurança da informação - Overview
Governança de segurança da informação - OverviewGovernança de segurança da informação - Overview
Governança de segurança da informação - Overview
 
Seminario iso 27000 pronto
Seminario iso 27000 prontoSeminario iso 27000 pronto
Seminario iso 27000 pronto
 
Cobit 5 - APO13 - Gestão da Segurança da Informação
Cobit 5 - APO13 - Gestão da Segurança da InformaçãoCobit 5 - APO13 - Gestão da Segurança da Informação
Cobit 5 - APO13 - Gestão da Segurança da Informação
 
Gestão de Riscos by Lacertae SW
Gestão de Riscos by Lacertae SWGestão de Riscos by Lacertae SW
Gestão de Riscos by Lacertae SW
 
Gestaode Riscos - Lacertae Sw
Gestaode Riscos - Lacertae SwGestaode Riscos - Lacertae Sw
Gestaode Riscos - Lacertae Sw
 
ISO 27001 -3
ISO 27001 -3 ISO 27001 -3
ISO 27001 -3
 
Perfil corporativo web
Perfil corporativo webPerfil corporativo web
Perfil corporativo web
 
Sk3 folder aicon
Sk3 folder aiconSk3 folder aicon
Sk3 folder aicon
 
Sk3 Análise de Impacto da Conduta Humana
Sk3 Análise de Impacto da Conduta HumanaSk3 Análise de Impacto da Conduta Humana
Sk3 Análise de Impacto da Conduta Humana
 
Jose
JoseJose
Jose
 
365 saturday - PowerApps Portal na Gestão da Privacidade
365 saturday - PowerApps Portal na Gestão da Privacidade365 saturday - PowerApps Portal na Gestão da Privacidade
365 saturday - PowerApps Portal na Gestão da Privacidade
 
Certificacao iso 27001
Certificacao iso 27001Certificacao iso 27001
Certificacao iso 27001
 
Gestão de Riscos Corporativos 2018
Gestão de Riscos Corporativos 2018Gestão de Riscos Corporativos 2018
Gestão de Riscos Corporativos 2018
 

Último

ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docxATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
2m Assessoria
 
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docxATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
2m Assessoria
 
ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docxATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
2m Assessoria
 
Assessement Boas Praticas em Kubernetes.pdf
Assessement Boas Praticas em Kubernetes.pdfAssessement Boas Praticas em Kubernetes.pdf
Assessement Boas Praticas em Kubernetes.pdf
Natalia Granato
 

Último (6)

ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docxATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
 
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docxATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
 
Padrões de Projeto: Proxy e Command com exemplo
Padrões de Projeto: Proxy e Command com exemploPadrões de Projeto: Proxy e Command com exemplo
Padrões de Projeto: Proxy e Command com exemplo
 
Boas práticas de programação com Object Calisthenics
Boas práticas de programação com Object CalisthenicsBoas práticas de programação com Object Calisthenics
Boas práticas de programação com Object Calisthenics
 
ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docxATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
 
Assessement Boas Praticas em Kubernetes.pdf
Assessement Boas Praticas em Kubernetes.pdfAssessement Boas Praticas em Kubernetes.pdf
Assessement Boas Praticas em Kubernetes.pdf
 

Risco - um fator estratégico

  • 1. Risco Um fator estratégico Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
  • 2. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados. www.ShieldSaaS.com contato@ShieldSaaS.com
  • 3. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados. VAMOS COMEÇAR?
  • 4. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados. Impacto Frequência Risco
  • 5. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados. O que é risco? A que riscos estou exposto? Qual o meu apetite ao risco? Como mensuro o meu risco?
  • 6. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados. Risco é... ...o resultado objetivo da combinação entre a probabilidade de ocorrência de um determinado evento, aleatório, futuro e o impacto resultante caso ele ocorra.
  • 7. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados. • O conceito de risco é associado à ideia de futuro • O risco no passado é evento, e não mais risco • O estudo de riscos é baseado em probabilidades e estudos de eventos passados
  • 8. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados. Gestão Equipes Frameworks TI x negócio Ciclo
  • 9. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados. Gestão de riscos Sob a visão do negócio
  • 10. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
  • 11. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados. Processos Presidência Financeiro RH TI SI Produto Marketing Equipes Sistemas Ambientes Documentos Fornecedores
  • 12. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados. ProcessosTI como vetor de ameaça Presidência Financeiro RH TI SI Produto Marketing Equipes Sistemas Ambientes Documentos Fornecedores Riscos do negócio Riscos Financeiros Riscos de RH Riscos de TI Riscos de compliance Riscos de produtos Riscos de imagem
  • 13. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados. TI como vetor de ameaça Se os riscos de TI são tão vitais, como isso afeta e gera riscos para o negócio?
  • 14. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados. TI como vetor de ameaça
  • 15. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados. Magnitude Frequência Como percebemos o risco? Oportunidades Baixo Médio Alto
  • 16. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados. Magnitude Frequência Como percebemos o risco? Planeja realizar Aceita Controla Nega ou evita
  • 17. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados. Como percebemos o risco? Apetite ao risco: Quantidade de risco definida pelo board que se está disposto a assumir em prol do atendimento à sua missão estratégica importantes
  • 18. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados. Como percebemos o risco? importantes Tolerância ao risco: Variação aceitável relativa ao atingimento de uma meta ou objetivo
  • 19. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados. • Maneira como os envolvidos compreende as consequências pelo potencial da ocorrência do risco • Está diretamente relacionada a experiências anteriores e expectativas futuras • A percepção de risco tende à psicologia
  • 20. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados. - Demonstrar maturidade gerencial - Suporte no direcionamento estratégico - Condição para abertura de capital - Atendimento a regulamentação Outros benefícios estratégicos
  • 21. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados. Equipes envolvidas
  • 22. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados. Accountability Relacionado àqueles que possuem os recursos e tem a autoridade para aprovar a execução e ou aceitar a saída que venha de uma atividade Responsibility Relacionado àqueles que devem garantir que as atividades foram cumpridas conforme os requisitos definidos
  • 23. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados. Presidência Financeiro RH TI SI Produto Marketing
  • 24. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados. Board CIO CEO CRO CFO Comitês de risco Gestores PMO Controles internos RH Auditoria Responsável ou parcialmente accountable Totalmente accountable
  • 25. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados. Comunicação de Riscos Capacidade de tratamento Status e indicadores Expectativas estratégicas
  • 26. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados. Comunicação de Riscos Programa de gestão de riscos Indicadores e métodos de métricas Procedimentos, material de conscientização Avaliação de maturidade segundo framework
  • 27. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados. TI x Negócio
  • 28. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados. Processos Presidência Financeiro RH TI SI Produto Marketing Equipes Sistemas Ambientes Documentos Fornecedores
  • 29. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados. Os principais projetos da organização dependem de ..... As boas práticas do ITIL sugerem o ponto central de contato na ....... A ...... é responsável pela guarda de informações e dados em backup O orçamento da ....... é historicamente um dos maiores em grande parte das organizações Em geral, quando a organização vai expandir, a “infantaria” é representada pela .....
  • 30. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados. Frameworks
  • 31. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados. Complementa o CobiT4.1 no sentido de gestão e percepção estratégica de riscos de TI no processo de gestão estratégica da governança de TI. Suporta o mercado de riscos (financeiro) com visões estratégicas sobre os riscos da organização Norma da família ISO 27000 dedicada a tratar do tema “Gestão de Riscos” com o enfoque em segurança da informação Norma Australiana-Neozelandesa para tratamento e gestão de riscos. Uma das referências que cita “risco” como podendo ser positivo (oportunidade) Norma ISO publicada no final de 2011 com enfoque em unificar o tema dando um cunho geral e não só de TI ou financeiro É um conjunto de ferramentas, técnicas e métodos para Avaliações de risco de segurança da informação e planejamento estratégico. OCTAVE Risk IT (CobiT 4.1) AS/NZS 4360 COSO ISO 27005 ISO 31000
  • 32. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados. Ciclo e manutenção Modelo da ISO 27005
  • 33. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados. AAR Análise de Riscos Definição de contexto Identificação de riscos Estimativa de riscos Avaliação de riscos ComunicaçãodoRisco Avaliação satisfatória? MonitoramentoeAnáliseCríticadeRiscos Tratamento do Risco Aceitação do risco O tratamento foi satisfatório?
  • 34. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados. Para anotar Finalizando...
  • 35. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados. Risco e a combinação entre a probabilidade de ocorrência de um determinado evento e o impacto resultante caso ele ocorra. AAnálise de Riscos é o processo pelo qual são relacionados os eventos, os impactos e avaliadas as probabilidades destes se concretizarem O gerenciamento de riscos busca garantir que os objetivos estratégicos de negocio não sejam expostos por falhas de TI A alta direção deve revisar e aprovar o plano de ação (accountability) O gerenciamento de riscos deve ser um processo contínuo e em constante
  • 36. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados. Obrigado Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados. www.ShieldSaaS.com www.slideshare.net/ShieldSaaS www.Facebook.com/ShieldSaaS www.twitter.com/ShieldSaaS contato@ShieldSaaS.com