SlideShare uma empresa Scribd logo

Apresentação da palestra de Maira Hernandez - Câmara Brasil Alemanha

AnyhelpBrasil
AnyhelpBrasil

Apresentação da palestra ministrada por Maira Hernandez, Diretora de Compliance na AnyHelp International, no dia 07 de Julho de 2011 na Câmara Brasil Alemanha, sede São Paulo.

Tecnologia
1 de 51
Baixar para ler offline
© AnyHelp International - All Rights Reserved Pág. 1
Sumário 1. Situação atual 2. Desafios para a segurança 3. Eficiência x Eficácia Corporativa 4. Nossa experiência 5. Outros projetos 6. Conclusões © AnyHelp International - All Rights Reserved Pág. 2
Situação atual © AnyHelp International - All Rights Reserved
Introdução  As T.I.C. tornam os dados e conhecimento acessíveis ► Sem intermediários, sem fronteiras, instantaneamente e com qualquer fim  A evolução tecnológica é exponencial ► Transmitem-se gigantescos volumes de dados em segundos ► Globalização total: Qualquer ação pode ser realizada de qualquer parte do planeta  Empresas e pessoas são objetos de ataques… ► De qualquer ponto, por qualquer meio e com qualquer objetivo, (terrorismo, roubos, extorsão, fraudes, sabotagens, cibercrimes…)  Estão generando um novo marco global, mas nós os conhecemos? ► Os meios de comunicações, procedimentos e leis tradicionais já não são válidos ► A empresa deve se preparar e se adaptar a um novo marco global e… LEGAL © AnyHelp International - All Rights Reserved Pág. 4
Introdução Atualmente, sabemos +, somos + produtivos e também… + vulneráveis que nunca PRIVACIDADE PROPRIEDADE a normativa se estabelece para evitar + = violacão desses direitos e bens ORDEM SEGURANÇA jurídicos ECONÔMICA DOS ESTADOS © AnyHelp International - All Rights Reserved Pág. 5
Tendência Regular e Legislar ► A sociedade hoje é mais global do que nunca e cada vez será mais ► Os sistemas de informação estão cada vez mais complexos e abrangem todos os âmbitos ► As regulações devem se adaptar a cada situação e âmbito, não somente no ambiente específico do legislador © AnyHelp International - All Rights Reserved Pág. 6
Tendências Direitos dos cidadãos ► Diretiva 95/46/CE: Tratamento dados pessoais U.E. ► Health Insurance Portability and Accountability Act (HIPAA) – U.S.A. ► The Fair Credit Reporting Act (FCRA): Intimidade e vida privada em U.S.A. ► Directiva 2000/31/CE: Tratamento comércio eletrônico U.E. Ordem Econômica ► SOX, Basiléia, MIFID, etc. Segurança dos Estados ► USA Patritot Act ► Directiva (2006/24/CE) de conservação e tratamento de dados ► Grupo Ação Financeira Internacional (GAFI) © AnyHelp International - All Rights Reserved Pág. 7
Objetivos Cumprimento Inconsciente Cumprimento Consciente Descumprimento Consciente Descumprimento Inconsciente © AnyHelp International - All Rights Reserved Pág. 8
Desafios para a Segurança © AnyHelp International - All Rights Reserved
Modelo de gestão Identificar Reportar Traduzir Analisar Auditar Riscos © AnyHelp International - All Rights Reserved Pág. 10
Hipóteses © AnyHelp International - All Rights Reserved Pág. 11
Hipóteses Vulnerabilidades • Aquilo que reduza:  meus pertences ou economias,  minha capacidade de geração de receita,  minha integridade física e mental © AnyHelp International - All Rights Reserved Pág. 12
Hipóteses 1. Acidentes © AnyHelp International - All Rights Reserved Pág. 13
Hipóteses 2. Enfermidades © AnyHelp International - All Rights Reserved Pág. 14
Hipóteses 3. Ataques © AnyHelp International - All Rights Reserved Pág. 15
Hipóteses ► Analiso minha atividade ► Faço constatações ► Detecto ameaças reais ► Avalio o impacto ► Incorporo controles © AnyHelp International - All Rights Reserved Pág. 16
Hipóteses Ativos Críticos 1. Cérebro 9.9 2. Boca e laringe 9.5 3. Medula Espinal 9.3 4. Coração 9.1 5. Pulmões 8.7 6. Fígado 8.2 7. Sistema Digestivo 8.0 8. Rins 7.6 9. Braços 7.3 10. Olhos 6.9 11. Pernas 6.8 12. … © AnyHelp International - All Rights Reserved Pág. 17
Hipóteses Caminhar é Perigoso © AnyHelp International - All Rights Reserved Pág. 18
Hipóteses Interação física…perigosíssima © AnyHelp International - All Rights Reserved Pág. 19
Hipóteses Plano Diretor de Segurança ► Disponibilidade ► Integridade ► Confidencialidade © AnyHelp International - All Rights Reserved Pág. 20
Hipóteses Disponibilidade Transferência de Riscos • Seguro médico – Gastos maiores • Seguro de vida • Seguro de automóveis • Seguro para seu lar • Seguro familiar • Seguro de danos a terceiros • Seguro por invalidez • Seguro contra demandas de terceiros • Seguro de sua cabeça e boca • Seguro contra sequestro • Seguro para o “homem-chave” para a empresa © AnyHelp International - All Rights Reserved Pág. 21
Hipóteses Disponibilidade Acordo de nível de serviço © AnyHelp International - All Rights Reserved Pág. 22
Hipóteses Confidencialidade e Integridade © AnyHelp International - All Rights Reserved Pág. 23
Hipóteses Plano Diretor de Segurança • 5 Fases – Desenho 9 meses R$ 6.1M – Desenvolvimento 11 meses R$ 3.5M – Provisionamento 6 meses R$17.3M – Implementação 8 meses R$ 5.1M – Provas e liberação 6 meses R$ 2.1M • Budget 40 meses R$ 34.1M © AnyHelp International - All Rights Reserved Pág. 24
Eficiência x Eficácia © AnyHelp International - All Rights Reserved
Comparativo Eficiência Eficácia Ênfase nos meios Ênfase nos resultados Fazer as coisas corretamente Fazer as coisas corretamente Resolver problemas Alcançar objetivos Economizar custos Criar mais valores Cumprir tarefas e obrigações Obter resultados Capacitar os profissionais Proporcionar eficácia aos profissionais Enfoque reativo Enfoque pró - ativo (Do passado ao presente) (Do futuro ao presente) © AnyHelp International - All Rights Reserved Pág. 26
Fórmula para o sucesso Eficácia Eficiência Boa Governança Inovação © AnyHelp International - All Rights Reserved Pág. 27
Standards Internacionais de Segurança ►A lei NÃO busca aumentar a segurança das empresas, só reduz condutas e más práticas ►Standards internacionais propõem controles para mitigar os riscos ► Implantar controles <> reduzir riscos ► + Controles = 90% do Custo de Cumprimento ► Riscos materiais (próprios) custam dinheiro ► + Controles <> – Riscos ► Quais controles reduzem quantos riscos? © AnyHelp International - All Rights Reserved Pág. 28
Estratégia Alinhar objetivos ► Compensar a diferença entre impacto interno para a empresa e a ameaça externa ► Reduzir o risco frente a terceiros Risco de reputação Risco econômico Risco de integridade pessoal © AnyHelp International - All Rights Reserved Pág. 29
Tipos de Riscos Intencional Oportunista Acidental Anônimo Complexo Probabilidade RISCO © AnyHelp International - All Rights Reserved Pág. 30
Nossa experiência © AnyHelp International - All Rights Reserved
© AnyHelp International - All Rights Reserved Pág. 32
Situação inicial • Durante a execução do Plano Diretor de Segurança da Informação no ano de 2002 foi identificado a necesidade de conhecer e identificar claramente as legislações e regulações específicas que afetam os sistemas de informação do Grupo BBVA • No ano de 2005 iniciou-se o desenvolvimento de Compliance IT, analizando todas normativas que afetam o Grupo BBVA em diferentes âmbitos relacionados com o mundo da tecnologia da Informação e comunicações • As análises são feitas até hoje, abrangendo toda a legislação vigente nos diferentes países onde o Grupo BBVA tem presença a nível internacional © AnyHelp International - All Rights Reserved Pág. 33
Negócio Tecnologia Jurídico Compliance © AnyHelp International - All Rights Reserved Pág. 34
Necesidade Objetivo • O desenvolvimento de Compliance IT envolve a interação de um serviço único para todas obrigações legais detectadas em matéria de TI para o Grupo BBVA com os controles técnicos que posibilitam o cumprimento das mesmas • Através de Compliance IT é possível ter uma uma visão global e clara do nível de impacto que as distintas legislações tem nas tecnologias da informação • A ferramenta foi desenvolvida em versão web, e está disponível na intranet do Grupo, o que facilita o acesso dos usuários em qualquer país e a realização de consultas de um modo rápido, atualizado, ágil e simples © AnyHelp International - All Rights Reserved Pág. 35
Metodologia Consulta de fontes oficiais Orgãos Emissores/Auditores Identificação normativa Auditoria aplicável Correspondência com Análises de obrigações Standares Internacionais legais © AnyHelp International - All Rights Reserved Pág. 36
Alcance Geográfico Técnico Funcional Institucional América ISO 27001 Sociedade da informação Legisladores nacionais: Congresso, Assembléia, Europa COBIT 4.1 Setores: banco, fundos de Parlamento pensões, mercado de Internacional Controles internos valores e seguros Reguladores nacionais: (Bancos nacionais, CNMV, Outros: Assinatura Superintendências, etc.) eletrônica, proteção de dados, auditoria e controle Internacionais: ISO, interno, sancionador e ISACA, PCI, Comitê penal, etc. Basiléia, etc. Corporativo: Normativa e políticas internas © AnyHelp International - All Rights Reserved Pág. 37
Alcance 2005 © AnyHelp International - All Rights Reserved Pág. 38
Alcance 2006 © AnyHelp International - All Rights Reserved Pág. 39
Alcance 2007 © AnyHelp International - All Rights Reserved Pág. 40
Alcance 2008 © AnyHelp International - All Rights Reserved Pág. 41
Alcance 2009-Atualidade © AnyHelp International - All Rights Reserved Pág. 42
Alcance técnico 11 Objetivos de alto nível ISO 27001 133 Objetivos de controle 34 Objetivos de alto nível COBIT 4.1 318 Objetivos de controle Associação com o marco de Controles internos controle do Grupo © AnyHelp International - All Rights Reserved Pág. 43
Alcance funcional Internacional Internacional 9 Segurança Física Seguridad Física 9 Tributario ye Fiscal Tributário Fiscal 11 Auditoria e Controle Interno Auditoría y Control Interno 18 Proteção ao Consumidor Protección al Consumidor 26 Propriedade Intelectual Propiedad Intelectual 43 Processual Procesal 48 Penal Penal 67 Comércio Mercantil 88 Privacidade Privacidad 124 Sociedade da Informação Sociedad de la Información 127 Bancos e outros serviços financeiros Banca y otros servicios financieros 352 © AnyHelp International - All Rights Reserved Pág. 44
Emissores Standards Normas Internacionais Jurisprudência Corporativas Normas nacionais Legislação Local Standards e Normas Legislação Corporativas Estadual Jurisprudência Legislação Legislação Legislação Internacional Internacional Nacional © AnyHelp International - All Rights Reserved Pág. 45
Conteúdo • Revisão e controle de normativa e controles técnicos associados • Os conteúdos estão ordenados e classificados por países, empresas, atividades ou outro critério aplicável • Manutenção contínua de toda a informação integrada • Acesso por parte dos usuários autorizados no Grupo BBVA • Atualização permanente com um informe executivo trimestral com as últimas novidades regulatórias, mantenutenção e informando sobre as leis revogadas © AnyHelp International - All Rights Reserved Pág. 46
Funcionalidades • Nacionais Conhecer • Internacionais • Normas Corporativas • Auditoria interna Analisar • Plano de ação • Leis em vias de aprovação Alertas • Modificações substanciais • Standards internacionais: ISO, COBIT Controles técnicos • Controles internos corporativos • Consultas sobre a aplicabilidade da legislação Legal Help Desk • Consultoria especializada Jurisprudência • Interpretação dos juízes e magistrados © AnyHelp International - All Rights Reserved Pág. 47
Benefícios Informação • Ágil e efetiva Disponibilidade • 24x7 qualquer lugar Métricas • Auditorias internas Resposta • Análises de riscos Valor • Melhora contínua Resultado • Boa governança corporativo Não cumprir Não é uma opção © AnyHelp International - All Rights Reserved Pág. 48
Outros projetos © AnyHelp International - All Rights Reserved
Conclusões ► As obrigações legais não são um fim em si mesma  Cada vez é mais evidente que o fim é proteger ► Os reguladores serão cada vez mais e mais exigentes  Haverá mais obrigações e cada vez mais específicas ► É indispensável o conhecimento da organização  Criar um ambiente controlado: sistemas eficientes, eficazes e automatizados  Para analisar também os riscos legais ► É básico traduzir as normas para controles  CoBIT e ISO desempenham um papel fundamental Não podemos gerenciar o que não se pode medir © AnyHelp International - All Rights Reserved Pág. 50
Alguma pergunta? Maira Hernández.- mhernandez@anyhelp.com Alamir Paulo Jr.- alamir.paulo@anyhelp.com MUITO OBRIGADA Desde 1998

Recomendados

Automatizando tarefas com grunt - O que era chato não é mais
Automatizando tarefas com grunt - O que era chato não é maisAutomatizando tarefas com grunt - O que era chato não é mais
Automatizando tarefas com grunt - O que era chato não é maisAnderson Aguiar
 
Pdo Apresentação Básica
Pdo Apresentação BásicaPdo Apresentação Básica
Pdo Apresentação Básicaandreandrade17
 
PDO - PHP Data Object
PDO - PHP Data ObjectPDO - PHP Data Object
PDO - PHP Data Objectpablolimajp
 
Url amigavel
Url amigavelUrl amigavel
Url amigavelandreandrade17
 
Programação Web com jQuery
Programação Web com jQueryProgramação Web com jQuery
Programação Web com jQueryVictor Adriel Oliveira
 
Apostila php orientado a objetos
Apostila php orientado a objetosApostila php orientado a objetos
Apostila php orientado a objetosFabiano Rodrigues
 
jQuery na Prática!
jQuery na Prática!jQuery na Prática!
jQuery na Prática!José Alexandre Macedo
 
Aplicacoes Web Com AJAX
Aplicacoes Web Com AJAXAplicacoes Web Com AJAX
Aplicacoes Web Com AJAXEr Galvão Abbott
 

Recomendados

Automatizando tarefas com grunt - O que era chato não é mais
Automatizando tarefas com grunt - O que era chato não é maisAutomatizando tarefas com grunt - O que era chato não é mais
Automatizando tarefas com grunt - O que era chato não é maisAnderson Aguiar
 
Pdo Apresentação Básica
Pdo Apresentação BásicaPdo Apresentação Básica
Pdo Apresentação Básicaandreandrade17
 
PDO - PHP Data Object
PDO - PHP Data ObjectPDO - PHP Data Object
PDO - PHP Data Objectpablolimajp
 
Url amigavel
Url amigavelUrl amigavel
Url amigavelandreandrade17
 
Programação Web com jQuery
Programação Web com jQueryProgramação Web com jQuery
Programação Web com jQueryVictor Adriel Oliveira
 
Apostila php orientado a objetos
Apostila php orientado a objetosApostila php orientado a objetos
Apostila php orientado a objetosFabiano Rodrigues
 
jQuery na Prática!
jQuery na Prática!jQuery na Prática!
jQuery na Prática!José Alexandre Macedo
 
Aplicacoes Web Com AJAX
Aplicacoes Web Com AJAXAplicacoes Web Com AJAX
Aplicacoes Web Com AJAXEr Galvão Abbott
 
Minicurso Ajax - 5. Semana de Informática PUC Minas São Gabriel
Minicurso Ajax - 5. Semana de Informática PUC Minas São GabrielMinicurso Ajax - 5. Semana de Informática PUC Minas São Gabriel
Minicurso Ajax - 5. Semana de Informática PUC Minas São GabrielMarcelo Linhares
 
Php do início ao profissional
Php do início ao profissionalPhp do início ao profissional
Php do início ao profissionalAndré Pfeiffer
 
PHP - PDO Objects
PHP - PDO ObjectsPHP - PDO Objects
PHP - PDO ObjectsAJINKYA N
 
Javascript levado a serio
Javascript levado a serioJavascript levado a serio
Javascript levado a serioJaydson Gomes
 
SASS + COMPASS - Alta Produtividade no Front-end
SASS + COMPASS - Alta Produtividade no Front-endSASS + COMPASS - Alta Produtividade no Front-end
SASS + COMPASS - Alta Produtividade no Front-endAnderson Aguiar
 
Desenvolvimento de Sistema CRUD (MVC) PHP / MYSQL
Desenvolvimento de Sistema CRUD (MVC) PHP / MYSQLDesenvolvimento de Sistema CRUD (MVC) PHP / MYSQL
Desenvolvimento de Sistema CRUD (MVC) PHP / MYSQLRogerio de Moraes
 
SASS e Compass, O CSS Ninja Workflow
SASS e Compass, O CSS Ninja WorkflowSASS e Compass, O CSS Ninja Workflow
SASS e Compass, O CSS Ninja WorkflowBeto Muniz
 
Introdução ao PHP Orientado a Objetos com Ajax
Introdução ao PHP Orientado a Objetos com AjaxIntrodução ao PHP Orientado a Objetos com Ajax
Introdução ao PHP Orientado a Objetos com AjaxOtávio Calaça Xavier
 
Apreset no bullying
Apreset no bullyingApreset no bullying
Apreset no bullyingDulcemeire Vieira Nogueira Lima
 
Résumé über Kulturindustrie
Résumé über KulturindustrieRésumé über Kulturindustrie
Résumé über KulturindustrieManuel Dierkes
 
Aνάπτυξη 1 χρονου
Aνάπτυξη 1 χρονου Aνάπτυξη 1 χρονου
Aνάπτυξη 1 χρονου SPPThess
 
Προληπτική Οδοντιατρική
Προληπτική ΟδοντιατρικήΠροληπτική Οδοντιατρική
Προληπτική ΟδοντιατρικήΜιχαλης Λα
 
Apresentação 2
Apresentação 2Apresentação 2
Apresentação 2Kali Mateus
 
Vul sec-web-campus party2011 v2-reserved copy
Vul sec-web-campus party2011 v2-reserved copyVul sec-web-campus party2011 v2-reserved copy
Vul sec-web-campus party2011 v2-reserved copyCampus Party Brasil
 
Treinamento Compliance e Ética
Treinamento Compliance e ÉticaTreinamento Compliance e Ética
Treinamento Compliance e ÉticaSérgio Martins
 
Segurança de Redes - Projeto e Gerenciamento de Redes Seguras
Segurança de Redes - Projeto e Gerenciamento de Redes SegurasSegurança de Redes - Projeto e Gerenciamento de Redes Seguras
Segurança de Redes - Projeto e Gerenciamento de Redes Segurasjivagoalves
 
Brief presentation on the "International NGO Accountability Charter"
Brief presentation on the "International NGO Accountability Charter"Brief presentation on the "International NGO Accountability Charter"
Brief presentation on the "International NGO Accountability Charter"Humaneasy Consulting
 
Higiene e seguranca_no_trabalho
Higiene e seguranca_no_trabalhoHigiene e seguranca_no_trabalho
Higiene e seguranca_no_trabalhoRobson Peixoto
 
Bolsa de Valores - 1o dia - Introdução
Bolsa de Valores - 1o dia - IntroduçãoBolsa de Valores - 1o dia - Introdução
Bolsa de Valores - 1o dia - IntroduçãoKenneth Corrêa
 
Entrevistas, artigos, livros & citações de Paulo Pagliusi
Entrevistas, artigos, livros & citações de Paulo PagliusiEntrevistas, artigos, livros & citações de Paulo Pagliusi
Entrevistas, artigos, livros & citações de Paulo PagliusiPaulo Pagliusi, PhD, CISM
 
COI CENTRO DE OPERAÇÕES INDUSTRIAIS NAS USINAS
COI CENTRO DE OPERAÇÕES INDUSTRIAIS NAS USINASCOI CENTRO DE OPERAÇÕES INDUSTRIAIS NAS USINAS
COI CENTRO DE OPERAÇÕES INDUSTRIAIS NAS USINASMarcio Venturelli
 
Palestras sobre Cibersegurança em Eventos - Paulo Pagliusi
Palestras sobre Cibersegurança em Eventos - Paulo PagliusiPalestras sobre Cibersegurança em Eventos - Paulo Pagliusi
Palestras sobre Cibersegurança em Eventos - Paulo PagliusiPaulo Pagliusi, PhD, CISM
 

Mais conteúdo relacionado

Destaque

Minicurso Ajax - 5. Semana de Informática PUC Minas São Gabriel
Minicurso Ajax - 5. Semana de Informática PUC Minas São GabrielMinicurso Ajax - 5. Semana de Informática PUC Minas São Gabriel
Minicurso Ajax - 5. Semana de Informática PUC Minas São GabrielMarcelo Linhares
 
Php do início ao profissional
Php do início ao profissionalPhp do início ao profissional
Php do início ao profissionalAndré Pfeiffer
 
PHP - PDO Objects
PHP - PDO ObjectsPHP - PDO Objects
PHP - PDO ObjectsAJINKYA N
 
Javascript levado a serio
Javascript levado a serioJavascript levado a serio
Javascript levado a serioJaydson Gomes
 
SASS + COMPASS - Alta Produtividade no Front-end
SASS + COMPASS - Alta Produtividade no Front-endSASS + COMPASS - Alta Produtividade no Front-end
SASS + COMPASS - Alta Produtividade no Front-endAnderson Aguiar
 
Desenvolvimento de Sistema CRUD (MVC) PHP / MYSQL
Desenvolvimento de Sistema CRUD (MVC) PHP / MYSQLDesenvolvimento de Sistema CRUD (MVC) PHP / MYSQL
Desenvolvimento de Sistema CRUD (MVC) PHP / MYSQLRogerio de Moraes
 
SASS e Compass, O CSS Ninja Workflow
SASS e Compass, O CSS Ninja WorkflowSASS e Compass, O CSS Ninja Workflow
SASS e Compass, O CSS Ninja WorkflowBeto Muniz
 
Introdução ao PHP Orientado a Objetos com Ajax
Introdução ao PHP Orientado a Objetos com AjaxIntrodução ao PHP Orientado a Objetos com Ajax
Introdução ao PHP Orientado a Objetos com AjaxOtávio Calaça Xavier
 
Résumé über Kulturindustrie
Résumé über KulturindustrieRésumé über Kulturindustrie
Résumé über KulturindustrieManuel Dierkes
 
Aνάπτυξη 1 χρονου
Aνάπτυξη 1 χρονου Aνάπτυξη 1 χρονου
Aνάπτυξη 1 χρονου SPPThess
 
Προληπτική Οδοντιατρική
Προληπτική ΟδοντιατρικήΠροληπτική Οδοντιατρική
Προληπτική ΟδοντιατρικήΜιχαλης Λα
 
Apresentação 2
Apresentação 2Apresentação 2
Apresentação 2Kali Mateus
 

Destaque (13)

Minicurso Ajax - 5. Semana de Informática PUC Minas São Gabriel
Minicurso Ajax - 5. Semana de Informática PUC Minas São GabrielMinicurso Ajax - 5. Semana de Informática PUC Minas São Gabriel
Minicurso Ajax - 5. Semana de Informática PUC Minas São Gabriel
 
Php do início ao profissional
Php do início ao profissionalPhp do início ao profissional
Php do início ao profissional
 
PHP - PDO Objects
PHP - PDO ObjectsPHP - PDO Objects
PHP - PDO Objects
 
Javascript levado a serio
Javascript levado a serioJavascript levado a serio
Javascript levado a serio
 
SASS + COMPASS - Alta Produtividade no Front-end
SASS + COMPASS - Alta Produtividade no Front-endSASS + COMPASS - Alta Produtividade no Front-end
SASS + COMPASS - Alta Produtividade no Front-end
 
Desenvolvimento de Sistema CRUD (MVC) PHP / MYSQL
Desenvolvimento de Sistema CRUD (MVC) PHP / MYSQLDesenvolvimento de Sistema CRUD (MVC) PHP / MYSQL
Desenvolvimento de Sistema CRUD (MVC) PHP / MYSQL
 
SASS e Compass, O CSS Ninja Workflow
SASS e Compass, O CSS Ninja WorkflowSASS e Compass, O CSS Ninja Workflow
SASS e Compass, O CSS Ninja Workflow
 
Introdução ao PHP Orientado a Objetos com Ajax
Introdução ao PHP Orientado a Objetos com AjaxIntrodução ao PHP Orientado a Objetos com Ajax
Introdução ao PHP Orientado a Objetos com Ajax
 
Apreset no bullying
Apreset no bullyingApreset no bullying
Apreset no bullying
 
Résumé über Kulturindustrie
Résumé über KulturindustrieRésumé über Kulturindustrie
Résumé über Kulturindustrie
 
Aνάπτυξη 1 χρονου
Aνάπτυξη 1 χρονου Aνάπτυξη 1 χρονου
Aνάπτυξη 1 χρονου
 
Προληπτική Οδοντιατρική
Προληπτική ΟδοντιατρικήΠροληπτική Οδοντιατρική
Προληπτική Οδοντιατρική
 
Apresentação 2
Apresentação 2Apresentação 2
Apresentação 2
 

Semelhante a Apresentação da palestra de Maira Hernandez - Câmara Brasil Alemanha

Vul sec-web-campus party2011 v2-reserved copy
Vul sec-web-campus party2011 v2-reserved copyVul sec-web-campus party2011 v2-reserved copy
Vul sec-web-campus party2011 v2-reserved copyCampus Party Brasil
 
Treinamento Compliance e Ética
Treinamento Compliance e ÉticaTreinamento Compliance e Ética
Treinamento Compliance e ÉticaSérgio Martins
 
Segurança de Redes - Projeto e Gerenciamento de Redes Seguras
Segurança de Redes - Projeto e Gerenciamento de Redes SegurasSegurança de Redes - Projeto e Gerenciamento de Redes Seguras
Segurança de Redes - Projeto e Gerenciamento de Redes Segurasjivagoalves
 
Brief presentation on the "International NGO Accountability Charter"
Brief presentation on the "International NGO Accountability Charter"Brief presentation on the "International NGO Accountability Charter"
Brief presentation on the "International NGO Accountability Charter"Humaneasy Consulting
 
Higiene e seguranca_no_trabalho
Higiene e seguranca_no_trabalhoHigiene e seguranca_no_trabalho
Higiene e seguranca_no_trabalhoRobson Peixoto
 
Bolsa de Valores - 1o dia - Introdução
Bolsa de Valores - 1o dia - IntroduçãoBolsa de Valores - 1o dia - Introdução
Bolsa de Valores - 1o dia - IntroduçãoKenneth Corrêa
 

Semelhante a Apresentação da palestra de Maira Hernandez - Câmara Brasil Alemanha (6)

Vul sec-web-campus party2011 v2-reserved copy
Vul sec-web-campus party2011 v2-reserved copyVul sec-web-campus party2011 v2-reserved copy
Vul sec-web-campus party2011 v2-reserved copy
 
Treinamento Compliance e Ética
Treinamento Compliance e ÉticaTreinamento Compliance e Ética
Treinamento Compliance e Ética
 
Segurança de Redes - Projeto e Gerenciamento de Redes Seguras
Segurança de Redes - Projeto e Gerenciamento de Redes SegurasSegurança de Redes - Projeto e Gerenciamento de Redes Seguras
Segurança de Redes - Projeto e Gerenciamento de Redes Seguras
 
Brief presentation on the "International NGO Accountability Charter"
Brief presentation on the "International NGO Accountability Charter"Brief presentation on the "International NGO Accountability Charter"
Brief presentation on the "International NGO Accountability Charter"
 
Higiene e seguranca_no_trabalho
Higiene e seguranca_no_trabalhoHigiene e seguranca_no_trabalho
Higiene e seguranca_no_trabalho
 
Bolsa de Valores - 1o dia - Introdução
Bolsa de Valores - 1o dia - IntroduçãoBolsa de Valores - 1o dia - Introdução
Bolsa de Valores - 1o dia - Introdução
 

Último

Entrevistas, artigos, livros & citações de Paulo Pagliusi
Entrevistas, artigos, livros & citações de Paulo PagliusiEntrevistas, artigos, livros & citações de Paulo Pagliusi
Entrevistas, artigos, livros & citações de Paulo PagliusiPaulo Pagliusi, PhD, CISM
 
COI CENTRO DE OPERAÇÕES INDUSTRIAIS NAS USINAS
COI CENTRO DE OPERAÇÕES INDUSTRIAIS NAS USINASCOI CENTRO DE OPERAÇÕES INDUSTRIAIS NAS USINAS
COI CENTRO DE OPERAÇÕES INDUSTRIAIS NAS USINASMarcio Venturelli
 
Palestras sobre Cibersegurança em Eventos - Paulo Pagliusi
Palestras sobre Cibersegurança em Eventos - Paulo PagliusiPalestras sobre Cibersegurança em Eventos - Paulo Pagliusi
Palestras sobre Cibersegurança em Eventos - Paulo PagliusiPaulo Pagliusi, PhD, CISM
 
EAD Curso - CIÊNCIA DE DADOS NA INDÚSTTRIA
EAD Curso - CIÊNCIA DE DADOS NA INDÚSTTRIAEAD Curso - CIÊNCIA DE DADOS NA INDÚSTTRIA
EAD Curso - CIÊNCIA DE DADOS NA INDÚSTTRIAMarcio Venturelli
 
Apostila e caderno de exercicios de WORD
Apostila e caderno de exercicios de WORDApostila e caderno de exercicios de WORD
Apostila e caderno de exercicios de WORDRONDINELLYRAMOS1
 
Apresentação Power Embedded - Descubra uma nova forma de compartilhar relatór...
Apresentação Power Embedded - Descubra uma nova forma de compartilhar relatór...Apresentação Power Embedded - Descubra uma nova forma de compartilhar relatór...
Apresentação Power Embedded - Descubra uma nova forma de compartilhar relatór...Dirceu Resende
 
[ServiceNow] Upgrade de versão - 2ª edição (Revisada, atualizada e ampliada)
[ServiceNow] Upgrade de versão - 2ª edição (Revisada, atualizada e ampliada)[ServiceNow] Upgrade de versão - 2ª edição (Revisada, atualizada e ampliada)
[ServiceNow] Upgrade de versão - 2ª edição (Revisada, atualizada e ampliada)Alessandro Almeida
 
From_SEH_Overwrite_with_Egg_Hunter_to_Get_a_Shell_PT-BR.pdf
From_SEH_Overwrite_with_Egg_Hunter_to_Get_a_Shell_PT-BR.pdfFrom_SEH_Overwrite_with_Egg_Hunter_to_Get_a_Shell_PT-BR.pdf
From_SEH_Overwrite_with_Egg_Hunter_to_Get_a_Shell_PT-BR.pdfRodolpho Concurde
 
O futuro e o impacto da tecnologia nas salas de aulas
O futuro e o impacto da tecnologia nas salas de aulasO futuro e o impacto da tecnologia nas salas de aulas
O futuro e o impacto da tecnologia nas salas de aulasAurioOliveira6
 

Último (9)

Entrevistas, artigos, livros & citações de Paulo Pagliusi
Entrevistas, artigos, livros & citações de Paulo PagliusiEntrevistas, artigos, livros & citações de Paulo Pagliusi
Entrevistas, artigos, livros & citações de Paulo Pagliusi
 
COI CENTRO DE OPERAÇÕES INDUSTRIAIS NAS USINAS
COI CENTRO DE OPERAÇÕES INDUSTRIAIS NAS USINASCOI CENTRO DE OPERAÇÕES INDUSTRIAIS NAS USINAS
COI CENTRO DE OPERAÇÕES INDUSTRIAIS NAS USINAS
 
Palestras sobre Cibersegurança em Eventos - Paulo Pagliusi
Palestras sobre Cibersegurança em Eventos - Paulo PagliusiPalestras sobre Cibersegurança em Eventos - Paulo Pagliusi
Palestras sobre Cibersegurança em Eventos - Paulo Pagliusi
 
EAD Curso - CIÊNCIA DE DADOS NA INDÚSTTRIA
EAD Curso - CIÊNCIA DE DADOS NA INDÚSTTRIAEAD Curso - CIÊNCIA DE DADOS NA INDÚSTTRIA
EAD Curso - CIÊNCIA DE DADOS NA INDÚSTTRIA
 
Apostila e caderno de exercicios de WORD
Apostila e caderno de exercicios de WORDApostila e caderno de exercicios de WORD
Apostila e caderno de exercicios de WORD
 
Apresentação Power Embedded - Descubra uma nova forma de compartilhar relatór...
Apresentação Power Embedded - Descubra uma nova forma de compartilhar relatór...Apresentação Power Embedded - Descubra uma nova forma de compartilhar relatór...
Apresentação Power Embedded - Descubra uma nova forma de compartilhar relatór...
 
[ServiceNow] Upgrade de versão - 2ª edição (Revisada, atualizada e ampliada)
[ServiceNow] Upgrade de versão - 2ª edição (Revisada, atualizada e ampliada)[ServiceNow] Upgrade de versão - 2ª edição (Revisada, atualizada e ampliada)
[ServiceNow] Upgrade de versão - 2ª edição (Revisada, atualizada e ampliada)
 
From_SEH_Overwrite_with_Egg_Hunter_to_Get_a_Shell_PT-BR.pdf
From_SEH_Overwrite_with_Egg_Hunter_to_Get_a_Shell_PT-BR.pdfFrom_SEH_Overwrite_with_Egg_Hunter_to_Get_a_Shell_PT-BR.pdf
From_SEH_Overwrite_with_Egg_Hunter_to_Get_a_Shell_PT-BR.pdf
 
O futuro e o impacto da tecnologia nas salas de aulas
O futuro e o impacto da tecnologia nas salas de aulasO futuro e o impacto da tecnologia nas salas de aulas
O futuro e o impacto da tecnologia nas salas de aulas
 

Apresentação da palestra de Maira Hernandez - Câmara Brasil Alemanha

  • 1. © AnyHelp International - All Rights Reserved Pág. 1
  • 2. Sumário 1. Situação atual 2. Desafios para a segurança 3. Eficiência x Eficácia Corporativa 4. Nossa experiência 5. Outros projetos 6. Conclusões © AnyHelp International - All Rights Reserved Pág. 2
  • 3. Situação atual © AnyHelp International - All Rights Reserved
  • 4. Introdução  As T.I.C. tornam os dados e conhecimento acessíveis ► Sem intermediários, sem fronteiras, instantaneamente e com qualquer fim  A evolução tecnológica é exponencial ► Transmitem-se gigantescos volumes de dados em segundos ► Globalização total: Qualquer ação pode ser realizada de qualquer parte do planeta  Empresas e pessoas são objetos de ataques… ► De qualquer ponto, por qualquer meio e com qualquer objetivo, (terrorismo, roubos, extorsão, fraudes, sabotagens, cibercrimes…)  Estão generando um novo marco global, mas nós os conhecemos? ► Os meios de comunicações, procedimentos e leis tradicionais já não são válidos ► A empresa deve se preparar e se adaptar a um novo marco global e… LEGAL © AnyHelp International - All Rights Reserved Pág. 4
  • 5. Introdução Atualmente, sabemos +, somos + produtivos e também… + vulneráveis que nunca PRIVACIDADE PROPRIEDADE a normativa se estabelece para evitar + = violacão desses direitos e bens ORDEM SEGURANÇA jurídicos ECONÔMICA DOS ESTADOS © AnyHelp International - All Rights Reserved Pág. 5
  • 6. Tendência Regular e Legislar ► A sociedade hoje é mais global do que nunca e cada vez será mais ► Os sistemas de informação estão cada vez mais complexos e abrangem todos os âmbitos ► As regulações devem se adaptar a cada situação e âmbito, não somente no ambiente específico do legislador © AnyHelp International - All Rights Reserved Pág. 6
  • 7. Tendências Direitos dos cidadãos ► Diretiva 95/46/CE: Tratamento dados pessoais U.E. ► Health Insurance Portability and Accountability Act (HIPAA) – U.S.A. ► The Fair Credit Reporting Act (FCRA): Intimidade e vida privada em U.S.A. ► Directiva 2000/31/CE: Tratamento comércio eletrônico U.E. Ordem Econômica ► SOX, Basiléia, MIFID, etc. Segurança dos Estados ► USA Patritot Act ► Directiva (2006/24/CE) de conservação e tratamento de dados ► Grupo Ação Financeira Internacional (GAFI) © AnyHelp International - All Rights Reserved Pág. 7
  • 8. Objetivos Cumprimento Inconsciente Cumprimento Consciente Descumprimento Consciente Descumprimento Inconsciente © AnyHelp International - All Rights Reserved Pág. 8
  • 9. Desafios para a Segurança © AnyHelp International - All Rights Reserved
  • 10. Modelo de gestão Identificar Reportar Traduzir Analisar Auditar Riscos © AnyHelp International - All Rights Reserved Pág. 10
  • 11. Hipóteses © AnyHelp International - All Rights Reserved Pág. 11
  • 12. Hipóteses Vulnerabilidades • Aquilo que reduza:  meus pertences ou economias,  minha capacidade de geração de receita,  minha integridade física e mental © AnyHelp International - All Rights Reserved Pág. 12
  • 13. Hipóteses 1. Acidentes © AnyHelp International - All Rights Reserved Pág. 13
  • 14. Hipóteses 2. Enfermidades © AnyHelp International - All Rights Reserved Pág. 14
  • 15. Hipóteses 3. Ataques © AnyHelp International - All Rights Reserved Pág. 15
  • 16. Hipóteses ► Analiso minha atividade ► Faço constatações ► Detecto ameaças reais ► Avalio o impacto ► Incorporo controles © AnyHelp International - All Rights Reserved Pág. 16
  • 17. Hipóteses Ativos Críticos 1. Cérebro 9.9 2. Boca e laringe 9.5 3. Medula Espinal 9.3 4. Coração 9.1 5. Pulmões 8.7 6. Fígado 8.2 7. Sistema Digestivo 8.0 8. Rins 7.6 9. Braços 7.3 10. Olhos 6.9 11. Pernas 6.8 12. … © AnyHelp International - All Rights Reserved Pág. 17
  • 18. Hipóteses Caminhar é Perigoso © AnyHelp International - All Rights Reserved Pág. 18
  • 19. Hipóteses Interação física…perigosíssima © AnyHelp International - All Rights Reserved Pág. 19
  • 20. Hipóteses Plano Diretor de Segurança ► Disponibilidade ► Integridade ► Confidencialidade © AnyHelp International - All Rights Reserved Pág. 20
  • 21. Hipóteses Disponibilidade Transferência de Riscos • Seguro médico – Gastos maiores • Seguro de vida • Seguro de automóveis • Seguro para seu lar • Seguro familiar • Seguro de danos a terceiros • Seguro por invalidez • Seguro contra demandas de terceiros • Seguro de sua cabeça e boca • Seguro contra sequestro • Seguro para o “homem-chave” para a empresa © AnyHelp International - All Rights Reserved Pág. 21
  • 22. Hipóteses Disponibilidade Acordo de nível de serviço © AnyHelp International - All Rights Reserved Pág. 22
  • 23. Hipóteses Confidencialidade e Integridade © AnyHelp International - All Rights Reserved Pág. 23
  • 24. Hipóteses Plano Diretor de Segurança • 5 Fases – Desenho 9 meses R$ 6.1M – Desenvolvimento 11 meses R$ 3.5M – Provisionamento 6 meses R$17.3M – Implementação 8 meses R$ 5.1M – Provas e liberação 6 meses R$ 2.1M • Budget 40 meses R$ 34.1M © AnyHelp International - All Rights Reserved Pág. 24
  • 25. Eficiência x Eficácia © AnyHelp International - All Rights Reserved
  • 26. Comparativo Eficiência Eficácia Ênfase nos meios Ênfase nos resultados Fazer as coisas corretamente Fazer as coisas corretamente Resolver problemas Alcançar objetivos Economizar custos Criar mais valores Cumprir tarefas e obrigações Obter resultados Capacitar os profissionais Proporcionar eficácia aos profissionais Enfoque reativo Enfoque pró - ativo (Do passado ao presente) (Do futuro ao presente) © AnyHelp International - All Rights Reserved Pág. 26
  • 27. Fórmula para o sucesso Eficácia Eficiência Boa Governança Inovação © AnyHelp International - All Rights Reserved Pág. 27
  • 28. Standards Internacionais de Segurança ►A lei NÃO busca aumentar a segurança das empresas, só reduz condutas e más práticas ►Standards internacionais propõem controles para mitigar os riscos ► Implantar controles <> reduzir riscos ► + Controles = 90% do Custo de Cumprimento ► Riscos materiais (próprios) custam dinheiro ► + Controles <> – Riscos ► Quais controles reduzem quantos riscos? © AnyHelp International - All Rights Reserved Pág. 28
  • 29. Estratégia Alinhar objetivos ► Compensar a diferença entre impacto interno para a empresa e a ameaça externa ► Reduzir o risco frente a terceiros Risco de reputação Risco econômico Risco de integridade pessoal © AnyHelp International - All Rights Reserved Pág. 29
  • 30. Tipos de Riscos Intencional Oportunista Acidental Anônimo Complexo Probabilidade RISCO © AnyHelp International - All Rights Reserved Pág. 30
  • 31. Nossa experiência © AnyHelp International - All Rights Reserved
  • 32. © AnyHelp International - All Rights Reserved Pág. 32
  • 33. Situação inicial • Durante a execução do Plano Diretor de Segurança da Informação no ano de 2002 foi identificado a necesidade de conhecer e identificar claramente as legislações e regulações específicas que afetam os sistemas de informação do Grupo BBVA • No ano de 2005 iniciou-se o desenvolvimento de Compliance IT, analizando todas normativas que afetam o Grupo BBVA em diferentes âmbitos relacionados com o mundo da tecnologia da Informação e comunicações • As análises são feitas até hoje, abrangendo toda a legislação vigente nos diferentes países onde o Grupo BBVA tem presença a nível internacional © AnyHelp International - All Rights Reserved Pág. 33
  • 34. Negócio Tecnologia Jurídico Compliance © AnyHelp International - All Rights Reserved Pág. 34
  • 35. Necesidade Objetivo • O desenvolvimento de Compliance IT envolve a interação de um serviço único para todas obrigações legais detectadas em matéria de TI para o Grupo BBVA com os controles técnicos que posibilitam o cumprimento das mesmas • Através de Compliance IT é possível ter uma uma visão global e clara do nível de impacto que as distintas legislações tem nas tecnologias da informação • A ferramenta foi desenvolvida em versão web, e está disponível na intranet do Grupo, o que facilita o acesso dos usuários em qualquer país e a realização de consultas de um modo rápido, atualizado, ágil e simples © AnyHelp International - All Rights Reserved Pág. 35
  • 36. Metodologia Consulta de fontes oficiais Orgãos Emissores/Auditores Identificação normativa Auditoria aplicável Correspondência com Análises de obrigações Standares Internacionais legais © AnyHelp International - All Rights Reserved Pág. 36
  • 37. Alcance Geográfico Técnico Funcional Institucional América ISO 27001 Sociedade da informação Legisladores nacionais: Congresso, Assembléia, Europa COBIT 4.1 Setores: banco, fundos de Parlamento pensões, mercado de Internacional Controles internos valores e seguros Reguladores nacionais: (Bancos nacionais, CNMV, Outros: Assinatura Superintendências, etc.) eletrônica, proteção de dados, auditoria e controle Internacionais: ISO, interno, sancionador e ISACA, PCI, Comitê penal, etc. Basiléia, etc. Corporativo: Normativa e políticas internas © AnyHelp International - All Rights Reserved Pág. 37
  • 38. Alcance 2005 © AnyHelp International - All Rights Reserved Pág. 38
  • 39. Alcance 2006 © AnyHelp International - All Rights Reserved Pág. 39
  • 40. Alcance 2007 © AnyHelp International - All Rights Reserved Pág. 40
  • 41. Alcance 2008 © AnyHelp International - All Rights Reserved Pág. 41
  • 42. Alcance 2009-Atualidade © AnyHelp International - All Rights Reserved Pág. 42
  • 43. Alcance técnico 11 Objetivos de alto nível ISO 27001 133 Objetivos de controle 34 Objetivos de alto nível COBIT 4.1 318 Objetivos de controle Associação com o marco de Controles internos controle do Grupo © AnyHelp International - All Rights Reserved Pág. 43
  • 44. Alcance funcional Internacional Internacional 9 Segurança Física Seguridad Física 9 Tributario ye Fiscal Tributário Fiscal 11 Auditoria e Controle Interno Auditoría y Control Interno 18 Proteção ao Consumidor Protección al Consumidor 26 Propriedade Intelectual Propiedad Intelectual 43 Processual Procesal 48 Penal Penal 67 Comércio Mercantil 88 Privacidade Privacidad 124 Sociedade da Informação Sociedad de la Información 127 Bancos e outros serviços financeiros Banca y otros servicios financieros 352 © AnyHelp International - All Rights Reserved Pág. 44
  • 45. Emissores Standards Normas Internacionais Jurisprudência Corporativas Normas nacionais Legislação Local Standards e Normas Legislação Corporativas Estadual Jurisprudência Legislação Legislação Legislação Internacional Internacional Nacional © AnyHelp International - All Rights Reserved Pág. 45
  • 46. Conteúdo • Revisão e controle de normativa e controles técnicos associados • Os conteúdos estão ordenados e classificados por países, empresas, atividades ou outro critério aplicável • Manutenção contínua de toda a informação integrada • Acesso por parte dos usuários autorizados no Grupo BBVA • Atualização permanente com um informe executivo trimestral com as últimas novidades regulatórias, mantenutenção e informando sobre as leis revogadas © AnyHelp International - All Rights Reserved Pág. 46
  • 47. Funcionalidades • Nacionais Conhecer • Internacionais • Normas Corporativas • Auditoria interna Analisar • Plano de ação • Leis em vias de aprovação Alertas • Modificações substanciais • Standards internacionais: ISO, COBIT Controles técnicos • Controles internos corporativos • Consultas sobre a aplicabilidade da legislação Legal Help Desk • Consultoria especializada Jurisprudência • Interpretação dos juízes e magistrados © AnyHelp International - All Rights Reserved Pág. 47
  • 48. Benefícios Informação • Ágil e efetiva Disponibilidade • 24x7 qualquer lugar Métricas • Auditorias internas Resposta • Análises de riscos Valor • Melhora contínua Resultado • Boa governança corporativo Não cumprir Não é uma opção © AnyHelp International - All Rights Reserved Pág. 48
  • 49. Outros projetos © AnyHelp International - All Rights Reserved
  • 50. Conclusões ► As obrigações legais não são um fim em si mesma  Cada vez é mais evidente que o fim é proteger ► Os reguladores serão cada vez mais e mais exigentes  Haverá mais obrigações e cada vez mais específicas ► É indispensável o conhecimento da organização  Criar um ambiente controlado: sistemas eficientes, eficazes e automatizados  Para analisar também os riscos legais ► É básico traduzir as normas para controles  CoBIT e ISO desempenham um papel fundamental Não podemos gerenciar o que não se pode medir © AnyHelp International - All Rights Reserved Pág. 50
  • 51. Alguma pergunta? Maira Hernández.- mhernandez@anyhelp.com Alamir Paulo Jr.- alamir.paulo@anyhelp.com MUITO OBRIGADA Desde 1998