Mais conteúdo relacionado Semelhante a Risco - um fator estratégico (20) Risco - um fator estratégico2. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
www.ShieldSaaS.com
contato@ShieldSaaS.com
3. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
VAMOS COMEÇAR?
4. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
Impacto Frequência
Risco
5. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
O que é risco?
A que riscos estou exposto?
Qual o meu apetite ao risco?
Como mensuro o meu risco?
6. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
Risco é...
...o resultado objetivo da combinação entre a probabilidade de
ocorrência de um determinado evento, aleatório, futuro e o
impacto resultante caso ele ocorra.
7. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
• O conceito de risco é associado
à ideia de futuro
• O risco no passado é evento, e
não mais risco
• O estudo de riscos é baseado
em probabilidades e estudos de
eventos passados
8. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
Gestão
Equipes
Frameworks
TI x
negócio
Ciclo
9. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
Gestão de riscos
Sob a visão do negócio
10. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
11. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
Processos
Presidência
Financeiro RH TI SI Produto Marketing
Equipes Sistemas Ambientes Documentos Fornecedores
12. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
ProcessosTI como vetor de ameaça
Presidência
Financeiro RH TI SI Produto Marketing
Equipes Sistemas Ambientes Documentos Fornecedores
Riscos do
negócio
Riscos
Financeiros
Riscos de
RH
Riscos de
TI
Riscos de
compliance
Riscos de
produtos
Riscos de
imagem
13. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
TI como vetor de ameaça
Se os riscos de TI são tão vitais,
como isso afeta e gera riscos para o negócio?
14. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
TI como vetor de ameaça
15. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
Magnitude
Frequência
Como percebemos o risco?
Oportunidades
Baixo
Médio
Alto
16. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
Magnitude
Frequência
Como percebemos o risco?
Planeja realizar
Aceita
Controla Nega ou evita
17. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
Como percebemos o risco?
Apetite ao risco: Quantidade de
risco definida pelo board que se
está disposto a assumir em prol do
atendimento à sua missão
estratégica
importantes
18. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
Como percebemos o risco?
importantes
Tolerância ao risco: Variação
aceitável relativa ao
atingimento de uma meta ou
objetivo
19. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
• Maneira como os envolvidos
compreende as consequências
pelo potencial da ocorrência do
risco
• Está diretamente relacionada a
experiências anteriores e
expectativas futuras
• A percepção de risco tende à
psicologia
20. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
- Demonstrar maturidade gerencial
- Suporte no direcionamento estratégico
- Condição para abertura de capital
- Atendimento a regulamentação
Outros benefícios
estratégicos
21. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
Equipes envolvidas
22. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
Accountability
Relacionado àqueles
que possuem os
recursos e tem a
autoridade para
aprovar a execução e
ou aceitar a saída que
venha de uma
atividade
Responsibility
Relacionado àqueles
que devem garantir
que as atividades
foram cumpridas
conforme os
requisitos definidos
23. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
Presidência
Financeiro RH TI SI Produto Marketing
24. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
Board
CIO
CEO
CRO
CFO
Comitês de risco
Gestores
PMO
Controles internos
RH
Auditoria
Responsável ou
parcialmente accountable
Totalmente accountable
25. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
Comunicação
de
Riscos
Capacidade
de
tratamento
Status e
indicadores
Expectativas
estratégicas
26. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
Comunicação
de
Riscos
Programa de gestão de riscos
Indicadores e métodos de métricas
Procedimentos, material de conscientização
Avaliação de maturidade segundo framework
27. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
TI x Negócio
28. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
Processos
Presidência
Financeiro RH TI SI Produto Marketing
Equipes Sistemas Ambientes Documentos Fornecedores
29. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
Os principais projetos da organização dependem de .....
As boas práticas do ITIL sugerem o ponto central de
contato na .......
A ...... é responsável pela guarda de informações e
dados em backup
O orçamento da ....... é historicamente um dos maiores
em grande parte das organizações
Em geral, quando a organização vai expandir, a
“infantaria” é representada pela .....
30. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
Frameworks
31. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
Complementa o CobiT4.1 no sentido de gestão e percepção
estratégica de riscos de TI no processo de gestão estratégica da
governança de TI.
Suporta o mercado de riscos (financeiro) com visões estratégicas
sobre os riscos da organização
Norma da família ISO 27000 dedicada a tratar do tema “Gestão de
Riscos” com o enfoque em segurança da informação
Norma Australiana-Neozelandesa para tratamento e gestão de
riscos. Uma das referências que cita “risco” como podendo ser
positivo (oportunidade)
Norma ISO publicada no final de 2011 com enfoque em unificar o
tema dando um cunho geral e não só de TI ou financeiro
É um conjunto de ferramentas, técnicas e métodos para Avaliações
de risco de segurança da informação e planejamento estratégico.
OCTAVE
Risk IT
(CobiT 4.1)
AS/NZS
4360
COSO
ISO 27005
ISO 31000
32. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
Ciclo e manutenção
Modelo da ISO 27005
33. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
AAR
Análise de Riscos
Definição de contexto
Identificação de riscos
Estimativa de riscos
Avaliação de riscos
ComunicaçãodoRisco
Avaliação
satisfatória?
MonitoramentoeAnáliseCríticadeRiscos
Tratamento do Risco
Aceitação do risco
O tratamento foi
satisfatório?
34. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
Para anotar
Finalizando...
35. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
Risco e a combinação entre a probabilidade de ocorrência de um
determinado evento e o impacto resultante caso ele ocorra.
AAnálise de Riscos é o processo pelo qual são relacionados os eventos, os
impactos e avaliadas as probabilidades destes se concretizarem
O gerenciamento de riscos busca garantir que os objetivos estratégicos de
negocio não sejam expostos por falhas de TI
A alta direção deve revisar e aprovar o plano de ação (accountability)
O gerenciamento de riscos deve ser um processo contínuo e em constante
36. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
Obrigado
Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
www.ShieldSaaS.com
www.slideshare.net/ShieldSaaS
www.Facebook.com/ShieldSaaS
www.twitter.com/ShieldSaaS
contato@ShieldSaaS.com