O documento discute governança de riscos e apresenta a empresa DARYUS, especializada em consultoria de gestão de riscos e continuidade de negócios. A DARYUS oferece cursos e eventos sobre tópicos como governança corporativa, gestão de riscos, segurança da informação e conformidade. O documento também aborda a importância da gestão de riscos para as organizações e como preparar a resiliência empresarial diante de possíveis incidentes.
1. Governança de riscos
- Governança, Riscos e Conformidade
JefersonD’Addario, CBCP, CRISC, MBCI
Business Continuity & Security Senior Practices Leader
Sócio-Diretor
São Paulo, 05 de Outubro 2011
jeferson@daryus.com.br www.daryus.com.br
www.twitter.com/jefebrasil www.twitter.com/daryusbr
3. Quem somos?
• Fundada em 2005
•Empresa 100% nacional
• Unidades de Negócios: Consultoria e Educação
• Consultoria: Referência em Continuidade de Negócios, Segurança da
Informação e Gestão de Riscos
• Educação: Parceria exclusiva com DRII desde 2005, parceira oficial do EXIN
e da ISACA, possui desde cursos de especialização até pós-graduações.
• Eventos renomados e exclusivos.
4. Educação
-Cursos Acadêmicos em parceria com a Faculdade Impacta
- Pós em Gestão de Segurança da Informação (380 hs)
- Pós em Governança de TI (380 hs)
- Pós em Investig. Fraudes e Forense Computacional (120hs)
-Cursos de Especialização (venda direta e por parceiros)
- Business Continuity – DRII e DARYUS
-DisasterRecoveryPlan - DARYUS
- Analista de Segurança da Informação (SecurityOfficer)
- ITIL, ISO 27002 foundation, ISO 20000 - EXIN
-Cobit - ISACA
- CISA, CISM – ISACA
-Cursos de Riscos Financeiros e Conformidade
- Controles Internos
-Controles Contábeis
- Gestão de Conformidade
- Gestão de Riscos
- Prevenção a Fraude
- Prevenção a Lavagem de Dinheiro
9. Estragos e mortes
- Rio de Janeiro entre os dias 5 e 6 de abril
- 182 mortos, mais de 100 feridos;
- O Serviço de Meteorologia do Rio registrou no período o maior índice
pluviométrico da cidade em mais de 40 anos: 288 mm.
9
10. Governança, RiscoseConformidade
- Inteligência de riscos, umatendênciamundial.
Governança
Corporativa e ISO 38500
de Cobit 4.1
TI
Continuidade BS 25999-1
de Segurança BS 25999-2 ISO 27001
Negócios da BS 25777-1 ISO 27002
Informação Cobit DS.4 ISO 27005
Cobit DS.5
Leis e Leis e
Regulamentações Regulamentações
Segurança, Saúde
e Meio Ambiente Responsabilidade ISO 14001
Social ISO 26001
OHSAS 18001
Sustentatibilidade Corporativa
Gestão de ISO 31000
Riscos
14. Passosprincipais
1o. Entendimento do negócio
2o. Análise de RiscoseImpactos
3o. SelecionarEstratégias/Controles
4o. Resposta a incidentes
5o. Capacitareprepararequipes
6o. Testareexercitar
15. 1o. Entenderonegócio
Estratégicos
Business
BSC Riscos
Plan
Primários
Lavrar Beneficiar Vender Entregar
Secundários
TI Financeiro RH Juridico Vendas
16. 2o. RiscoseImpactos
Pessoas BIA = IMPACTOS
Processos
Quando?
TIC Quanto?
Financeiro,
Operacional,
Imagem,
Legal
Por que?
Alvo da Estratégia de Continuidade
(80/20)
17. Consciência + Regras = Resultados
Diretrizes Gerais de Continuidade:
1. Garantir a VIDA das pessoas;
2. MINIMIZAR os impactos e garantir a continuidade das funções críticas;
3. Proteger a IMAGEM da organização;
4. Gestão de Continuidade é uma disciplina/domínio de Gestão de Riscos
ESTRATÉGICOS
5. Uma POLÍTICA de GCN precisa ser estabelecida
6. Um processo CONTÍNUO precisa ser implementado e mantido na
organização
19. TCU vê problemas de segurança de informação em 65% dos
órgãos públicos.
Para se ter uma idéia, 97%
dos órgãos não têm o chamado
"plano de continuidade de negócios" --que são diretrizes que
devem ser seguidas em caso de haver uma pane no sistema que interrompa o
serviço.
Fonte: Folha de S. Paulo Set/2010
19
21. " A medidaque a tecnologiaevolui, seuenvolvimento com
elaémenor. Ela se torna parte dapaisagem ”
DemiGetschko, conselheiro do CGI Brasil
22. Prapensar!
Prapensar!
1o. O queserá a SI daquiprafrente?
2o. Qualopapel do Security Officer?
3o. TIC enãomais TI
4o. TICI enãomais TIC
5o. TICI comoserviço
6o. Funcionáriosdageração Y
6o. Fimdapadronizaçãoeuma nova regraparao End
Point Security
23. Security Officer antigo
1- Não entende de negócio
2- Não entende como faz parte do negócio
3- Técnico, geralmente vem de TI e introspectivo
4- Bloqueia tudo, sem entender o por quê
5- Muitas policies e pouca política
6- Dificuldade extrema de entender a gestão
necessária para a função
23
24. Security Officer novo
1- Entende de negócio
2- Entende como faz parte do negócio
3- Menos técnico, mais diplomático e negociador
4- Bloqueia o necessário, após entender o por quê
5- Política simples, clara e objetiva
6- Aplica a gestão necessária envolvendo pessoas,
processos e tecnologia
24
25. RECEITA?
Justificativa
LEIS OU CUSTO?
REGULAMENTOS?
26. 1. Segurança da Informação NÃO DEVE ser assunto
somente das empresas e na relação profissional;
2. Leve para casa! É responsabilidade da FAMÍLIA!
FAMÍLIA
3. As campanhas de divulgação de PSI das empresas
podem abranger recomendações para a vida pessoal
dos funcionários
4. Crie comunidades de discussão entre os funcionários
5. Crie material na Intranet com orientações mínimas de
segurança e riscos da Internet para a vida pessoal dos
pess
funcionários.
27. 6. Você realmente está monitorando o que você faz na
Internet? seu filho? Sua família?
7. A maioria das brigas de torcidas uniformizadas
acontecem com arranjos via Internet. Muitos dos
envolvidos fazem isso de dentro do ambiente de
trabalho.
8. Socialize a segurança da Informação. É informação e
Informação
não tecnologia da Informação
9. Use as redes sociais para monitoramento de apoio
10. Monitore equipes críticas de TIC e Desenvolvimento de
Sistemas.