SlideShare uma empresa Scribd logo
GRC - Governando a TI (Governança), com sabedoria (Gestão
               de Riscos) e como todos esperam (Compliance)


                                                                 Gustavo Lens Minarelli
                                                                          Gerente de Projetos

                                                        CGEIT, ITIL, ISO27001 Lead Auditor,
                                                                            COBIT, ISMAS


                                                                gustavo.minarelli@gmail.com




• Quais são os mistérios que envolvem este novo tema?
• Quais os benefícios de cada uma destas disciplinas, tão importantes na Gestão Moderna dos
investimentos em tecnologia nas organizações.
• Como é possível fazer com que a estratégia de TI faça parte da estratégia de negócios?
• Dicas para que os novos profissionais ganhem destaque nesta nova ordem do mercado, e para que os
mais experientes aproveitem esta nova oportunidade!
Agenda


O que é GRC, qual sua importância?

O cenário nas empresas?

Governança

Gestão de Riscos

Compliance
Esta bem, como fazer GRC?
Como estamos hoje?


A tendência (o mais fácil) é que nos agarremos a
pedaços de informações sem uma análise do
quadro maior

Atacamos os meios, sem método e às vezes sem
nem mesmo conhecer o problema.
As metas das
               Entregar valor
organizações   para os negócios


               Com um risco
               aceitável


               Gerenciando com
               eficiência

               Com uso
               eficiente de
               recursos
Como saber se esta   Quem define o que
                     é valor são as
tudo bem?            partes
                     interessadas
                     Quem aceita os
                     riscos são as partes
                     interessadas

                     Quem define o que é
                     gerenciar
                     corretamente são as
                     partes interessadas

                     Quem dá os
                     recursos
                     necessários são as
                     partes interessadas
Como a maior parte das
   organizações estão hoje?
Tentamos nos agarrar a metodologia isoladas,
 em busca de uma solução mágica para os
       problemas das organizações
Frameworks, padrões, modelos, …

                                                    PCI-DSS

                            COBIT 4.1    ISO/IEC 27001              eSCM
                                                              BASEL II
                           NIST 800-53         BS 7799
                                                              ISO Guide 73

                               ISO 15408             ANS RN 114
                   ITIL
ISO DIS 31000
                   CMM      COSO             BITS
 ISO 3WD 25700
                                  BS 25999:1 2006
            AS/NZS 4360

HIPAA     BC 3380         FISMA          BS 25999

ISO/IEC 17799               ISO/IEC TR 13335
                BC 2553
                                  ISO/IEC 27005
Frameworks, padrões, modelos, …


Assim, vivemos uma época em que
esta sendo necessário gerenciar os
negócios com um pé no acelerador
          e outro no freio


                  ....mas, acelerar continua
                  sendo a prioridade das
                  empresas
Uma constatação do óbvio



O método é um instrumento
para resolver problemas e não
a solução em si
Renascença

             Época de
             mudanças
              •Intelecto
              •Assimilação de
              conhecimento
              •Estruturas sociais
              •Educação
              •Arte
              •Ciência
.... e de
conflitos
Oportunidade!
Ameaça!
O que é GRC?



       Governança




               Gestão de
Compliance
                Riscos
Uma nova onda

 “GRC é uma das principais
 prioridades dos negócios”
Objetivos de Controle de TI para
atender Sarbanes Oxley
E agora?
Situação atual das organizações




Ilhas organizacionais
     e funcionais




         Fonte: Open Compliance & Ethics Group
GRC: Situação desejavel




                                    IT
    Fonte: Open Compliance & Ethics Group
Benefícios do GRC

•   Valor das ações
•   Confiabilidade e o prestígio da organização
•   Fraudes
•   Perdas (ex: multas, incidentes operacionais)
•   fidelidade dos acionistas, sócios, direção, colaboradores, parceiros ,
    fornecedores....
•   Competitividade, melhorando a capacidade da organização tomar decisões
    rápidas e certeiras
•   Melhora a comunicação na empresa, aumentando a confiança e a “boa vontade”
•   Promove a sustentabilidade da empresa
     -   Transparência
     -   Manutenção dos ideais com (Confiança e Integridade)
     -   Responsabilidade da organização com a sociedade
E Você no GRC?

• Mude a forma de pensar
• Faça os outros mudarem
  também (seja um agente da mudança)
• Aproveite as oportunidade que estão surgindo
• Ganhe respeito e prestígio
• Faça os deveres do dia-a-dia
• Mantenha equilíbrio entre detalhe (micro) e a
  estratégia (macro)
• Planeje-se seja realista no curto prazo e visionário no
  longo prazo
Governança de TI


              Governança




                      Gestão de
       Compliance
                       Riscos
Algumas referências
Modelo ISO 38500
Modelo ISO 38500
Governança de TI
              Definição MIT

“Especificação dos direitos decisórios e do
framework de responsabilidades para estimular
comportamentos desejáveis na área de TI.”
Governança de TI trata de três questões:
 Quais decisões devem ser tomadas para garantir a
 gestão e o uso eficazes de TI?
 Quem deve tomar estas decisões?
 Como estas decisões serão tomadas e
 monitoradas?
Governança de TI
                Paralelo com Governança Corporativa



Conselho de Administração            Governança
      Comitê de TI
  CEO, CFO, Usuários



                         Serviços       Objetivos de
          CIO           Resultados       Negócios




      Equipe de TI
                                         Gestão
Governança de TI
                Paralelo com Governança Corporativa


       Acionistas                      Governança
       Assembléia
Conselho de Administração



                       Transparência     Direcionamento
          CEO           Resultados        Alinhamento




      Organização                           Gestão
Referência para TI: Cobit 4


  CobiT é reconhecido mundialmente e
  adotado como referência por muitas
    empresas como um modelo de
  referência para a Governança de TI
Framework Cobit

 Auxilia na inclusão da estratégia de TI na estratégia de
 negócios;
 Tem a missão de atender aos objetivos de negócio;
 Organiza TI através de um modelo amplamente
 aceitável;
 Identifica recursos de TI necessários;
 Ajuda a definir objetivos de controle que precisam ser
 implementados.
BUSINESS OBJECTIVES AND
                                                   GOVERNANCE OBJECTIVES




                                           C O B I T
ME1     Monitor and evaluate IT         F RAMEWO R K                                                   PO1  Define a strategic IT plan.
        performance.                                          INFORMATION                              PO2  Define the information
ME2     Monitor and evaluate internal
                                                                                                            architecture.
        control.
                                                 Efficiency                    Integrity               PO3 Determine technological
ME3     Ensure compliance with
                                                Effectiveness                Availability                   direction.
        external requirements.
                                                       Compliance                                      PO4 Define the IT processes,
ME4     Provide IT governance.                                            Confidentiality
                                                         Reliability                                        organization and relationships.
                                                                                                       PO5 Manage the IT investment.
                                         MONITOR                                              PLAN
                                                                                                       PO6 Communicate management
                                           AND                                                AND           aims and direction.
                                         EVALUATE                                           ORGANISE   PO7 Manage IT human resources.
                                                                    IT                                 PO8 Manage quality.
DS1    Define and manage service
       levels.
                                                                RESOURCES                              PO9 Assess and manage IT risks.
DS2    Manage third-party services.                                                                    PO10 Manage projects.
DS3    Manage performance and
       capacity.
DS4    Ensure continuous service.                               Applications
DS5    Ensure systems security.                                  Information                           AI1    Identify automated solutions.
DS6    Identify and allocate costs.                             Infrastructure                         AI2    Acquire and maintain
DS7    Educate and train users.                    DELIVER          People        ACQUIRE                     application software.
DS8    Manage service desk and                       AND                            AND                AI3    Acquire and maintain
       incidents.                                  SUPPORT                       IMPLEMENT                    technology infrastructure.
DS9    Manage the configuration.                                                                       AI4    Enable operation and use.
DS10   Manage problems.                                                                                AI5    Procure IT resources.
DS11   Manage data.                                                                                    AI6    Manage changes.
DS12   Manage the physical                                                                             AI7    Install and accredit solutions
       environment.                                                                                           and changes.
DS13   Manage operations.
Cobit
                        O Cobit é composto por
                          34 processos de TI,
                         sendo que um deles é                              Além disso, para
                        específico para tratar da                          satisfazer os objetivos
                                                    Information Criteria
                        Avaliação e Gestão dos                             de negócios, a
                          Riscos de TI (PO9).       Effectiveness          informação precisa
      IT Process                                    Efficiency             atender critérios de
                                                    Confidentiality        controle, que o COBIT
                                                    Integrity              refere como requisitos
                                                    Availability           do negócio para a
 Business Requirement                               Compliance             informação.
                                                    Reliability



   Control Approach
                                                                           IT Resources
                              IT Processes                                 Applications
                              Domains
Consideration                                                              Information
                              Processes
• ……………………………
                              Activities                                   Infrastructure
• ……………………………
• ……………………..……..                                                           People
PO9 – Avaliação e Gestão de Riscos em TI
Integração de TI com os Negócios
Visão do CobiT
        Balanced ScoreCard, Planejamento
        Estratégico

            Objetivos de Negocios




                                           CobiT 4
                                           CobiT 4
               Objetivos de TI




               Procesos de TI



        Maturidade
Business Goals X IT Goals
IT Goals X IT Processes
Gestão de Riscos



          Governança




                  Gestão de
   Compliance
                   Riscos
O que é risco?



“   efeito das incertezas
       nos objetivos”
Risco: Ameaça ou Oportunidade
Falta um vínculo entre o conselho, diretoria
e as unidades de negócio




                 Conselho
                 Executivo
Falta um vínculo entre o conselho, diretoria
e as unidades de negócio


                          Pessoas
                     Conselho
                     Executivo

             Tecnologia


                              Processos
Oportunidades para o GRC
Conselhos de                             Unidades de
administração                            Negócios
• Não estabelece o tom para a gestão     • Não relacionam a Gestão de Riscos aos
de riscos.                               objetivos estratégicos

• Não entende a gestão de riscos como    • Não identificam ou avaliam completamente os
vantagem competitiva.                    riscos relacionados a compliance, leis e
                                         regulamentações
• Tem mínima participação nas
discussões sobre risco da organização    • Permanecem identificando, apenas, riscos
                                         “técnicos”
• Possuem pouca visibilidade da Gestão
de Riscos das organizações.              • Só cumprem, não avaliam

• Não comunica expectativas a respeito   • Só controlam, não avaliam
dos riscos para a gerencia executiva
Apetite ao risco
Quais são os riscos?


           Conhecemos
          nossos riscos?
Quais são os riscos?
Ameaças de Fraude - Integridade
Ameaças de Sabotagem
- Disponibilidade
O pior risco...


O pior risco é não
 ter uma gestão
     de riscos
    adequada
Quais são os riscos?
Análise de causa-efeito




                          Fonte: Wikipedia
Árvore de decisão
Riscos Vs Governança de TI (Cobit)

                                                                          efeito

                                                   efeito




                                                                     for      Business
                       efeito
 evento                                                           achieving   Objectives

                                    i         to
                                                      Business
                                                      Processes               efeito
                                Information
             provide

 IT Resources
 and Processes


                 Exemplo de riscos em TI (adaptado do COBIT)
COSO/ERM
                 Enterprise Risk Management


- COSO/ERM – The Committee of
Sponsoring Organizations /
Enterprise Risk Management

- Framework de Gestão de
Riscos Empresariais (ERM –
Enterprise Risk Management)

- Concebido inicialmente para
atender instituições financeiras
através da avaliação de controle
internos,

- Expandido para a gestão de
riscos operacionais de qualquer
natureza
COSO/ERM -              Enterprise Risk Management
 4 categorias de objetivos




                                            ISO 31000


     8 componentes
    interrelacionados
Desafio de uma linguagem
               comum
• ISO Guide 73: Risk Management - Vocabulary
• ISO 31000: Risk Management – Principles and Guidelines on
  implementation
ISO31000 – Gestão de Riscos

Processo de Gestão de Riscos: Aplicação sistemática de políticas de gestão,
procedimentos e práticas para as atividades de comunicação, consulta, definição de
contexto, identificação, análise, avaliação, tratamento, monitoração e análise crítica
                                  referentes ao risco.
Principais desafios da Gestão de
Riscos


  - Escassez de informações
  - Estatísticas inexistentes
  - Controles e indicadores inadequados ao
    contexto dos eventos
  - Dificuldades em estimar probabilidades e
    impacto
Compliance




              Governança




                      Gestão de
       Compliance
                       Riscos
Fé vs Confiança
Santo Isidoro de Sevilla
Patrono da Internet             ISO 27001




                           vs
Serie ISO/IEC 27000
Série ISO 27000
Norma                      Descrição                    Estágio
27000   Visão Geral e Vocabulário                       FDIS
        Requisitos de Sistemas de Gestão de Segurança   Publicada
27001   da Informação                                   2005
        Código de prática para Gestão da Segurança da   Publicada
27002   Informação                                      2005
        Diretrizes para Implementação de Sistemas de
27003   Gestão de Segurança da Informação               DIS
        Métricas de Sistemas de Gestão de Segurança da
27004   Informação                                     DIS
                                                       Publicada
27005   Gestão de Riscos de Segurança da Informação    2008

        Requisitos para Acreditação das Partes -      Publicada
27006   Sistemas de Gestão de Segurança da Informação 2007
        Diretrizes para auditar Sistemas de Gestão de
27007   Segurança da Informação                         WD
Adoção da ISO27001 no mundo




             Pag.62
ISO/IEC 27005 Gestão de Riscos
para Segurança da Informação




               Pag.63
Visão Integrada

        COSO



                                COBIT
               ISO 17799


                                                 ISO 9000


O QUÊ                             ITIL                               COMO




                           Escopo de cobertura      Fonte: Introductory COBIT
                                                    Presentation - ISACA
COBIT e outros frameworks




 65
Sarbanes-Oxley Act (SOX)




                  Fonte: Revista CIO
Por exemplo: ISO 27001 e SOX




                               67
Por exemplo: Basilea II
Eventos de Risco Operacionais e CobiT




         68
Por exemplo:
Cartão de Crédito – Padrão de Segurança




    Payment Card Industry - Data Security Standard
           www.pcisecuritystandards.org/
Motivadores




 (Gazeta do Povo) Quadrilha presa lucrava R$ 20 milhões por mês com cartões clonados
 http://portal.rpc.com.br/gazetadopovo/vidaecidadania/conteudo.phtml?id=818455
Como integrar tudo
isso?




                     71
PROCESSOS DE NEGÓCIO



                                SISTEMAS CHAVE


                         PROGRAMA DE COMPLIANCE
     INVENTARIAR        ANALIZAR RISCO       AVALIAR RISCO       TRATAR RISCOS




•   Estabelecer políticas e objetivos claros
•   Implementar e auditar políticas, responsabilidades, processos e procedimentos
•   Implementar correções e ações preventivas, mantendo a conformidade
•   Evitar retrabalho, realizando ações integradas para analisar as conformidades




                          CULTURA ORGANIZACIONAL
As metas das
               Entregar valor
organizações   para os negócios


               Com um risco
               aceitável


               Gerenciando com
               eficiência

               Com uso
               eficiente de
               recursos
Como saber se esta   Quem define o que
                     é valor são as
tudo bem?            partes
                     interessadas
                     Quem aceita os
                     riscos são as partes
                     interessadas

                     Quem define o que é
                     gerenciar
                     corretamente são as
                     partes interessadas

                     Quem dá os
                     recursos
                     necessários são as
                     partes interessadas
Deixe de lado o papel de “Cavaleiro
do Apocalípse, pense em 360º
Comprometimento

• GRC afeta toda a organização (TI e Não-TI)
• O sucesso de um programa estruturado de GRC depende do
  comprometimento do alto escalão (governança)
• Não basta só o comprometimento, mas é necessário também o
  envolvimento das principais áreas envolvidas (governança)

• Uma das formas de começar é:
   • Coletar métricas sobre as não conformidades (compliance)
   • Identificar benefícios gerais para os negócios (risco)
   • Identificar e quantificar o Risco das não conformidades para o negócio
     (risco)
   • Quais as potenciais perdas que serão evitadas (risco)?
   • Quais os principais ganhos que as melhorias proporcionaram?! (risco)
Comprometimento

• Envolva clientes e fornecedores na sua iniciativa, elas
  também são interessadas em ajudá-lo a promover a
  iniciativa na sua organização
• Uma consultoria (opinião isenta) poderá ajudá-lo no
  esforço de conscientização interno
• Estabeleça um fórum e um comitê de
  acompanhamento do programa de conformidade

• Evite a tentação de assumir o papel de “mensageiro do
  apocalipse”
Mude o foco

 • Atingimos 150 controles implementados de 599 possíveis

 • .......

 •   Estamos protegendo nossos clientes
 •   Estamos mantendo a operação da nossa organização
 •   Reduzimos a fraudes com cartão de crédito!
 •   Estamos garantindo a rentabilidade dos nossos negócios

 Se o seu problema for apenas atingir o “compliance” terá dificuldades
            de vender o seu projeto para a sua organização
Mude o foco

            A decisão final é sempre da alta gerência

 A menos que sejam subsidiados de informação lógica e racional
  sobre o porque eles precisam assumir uma determinada direção,
                        eles não assumirão

Auxilie o seu executivo a comparar o (até agora) seu problema com
          outros problemas que estão na agenda da empresa

 Você poderá até conseguir investimentos apenas
  com o argumento de “should be compliance” mas
 será o suficiente para investir em 10 cadeados para
                        laptops
Foque nas oportunidades


 • Ganhos financeiros com a otimização
   dos processo
 • Criação de um diferencial competitivo
 • Aumento das vendas
 • Valorização da marca
 • ....
Ex: Compliance com PCI

    Quando uma empresa tem dados confidenciais roubados sofre
    imediatamente impactos…….

•   Financeiros – Multas, ressarcimento
•   Código Civil - sanções legais
•   Perda de credibilidade / Reputação / Imagem
•   Redução de valor de suas ações

• Perda de mercado
     - Os clientes NÃO COMPRAM se não se sentirem seguros

• Redução no valor de seus serviços
   - Os cliente pagam mais por transações seguras!
Lembre-se que GRC significa
         INTEGRAÇÃO
• Ganhe parceria de outros projetos na sua organização
   • Não reinvente a roda
   • Aproveite controles já existentes, você não precisa ter um controle
     diferente para cada FRAMEWORK existente no mercado
   • Invista na parceria com outras áreas de controle ou auditoria
     interna da organização que tenham objetivos semelhantes aos
     seus
Entenda como você está

              Inicial/   Repetitivo/                 Gerenciado y
Inexistente                                 Definido                Optimizado
              Ad Hoc      Intuitivo                    Medido
    0            1            2                3           4            5




                                       83
Verificar conformidade com
                 as regulamentações

                  ex: Cobit Vs Sox



Feito com:
Analisar os riscos para os
              objetivos dos negócios




             IT Goals Vs IT Processes Vs
                   Business Goals


Feito com:
Analisar diferenças entre o estado atual e
o desejado e implementar práticas de
controle
              Alta




                                     Alta
Criticidade




                                             Mejorar



                                                       Analisar
                                            Observar   possivel
              Baja




                                     Baja
                                                       desperdício

                     Baja     Alta            Baja        Alta

                      Maturidade                 Maturidade
Implementando GRC – “Quick Wins”

                                            Gestão de Continuidade
                                                dos Negocios

                       Gestão de Riscos
    Governança


                                             Workflow e Painel de
                                             Controle (Dashboard)

 Requisitos Legais e     Gap Analysis
    Regulatórios       (Cobit, ISO 27000,
                         BS 25999, ...)

                                              Implementação de
                                                  Políticas
Lembre-se: TI é parte integral da estratégica
de negócio


 Negócios/ Visão Executiva /
        Processos




                                    Sistemas /
                                     Serviços




Ativos
GRC - Governando a TI (Governança), com sabedoria (Gestão
               de Riscos) e como todos esperam (Compliance)


                                                                 Gustavo Lens Minarelli
                                                                          Gerente de Projetos

                                                        CGEIT, ITIL, ISO27001 Lead Auditor,
                                                                            COBIT, ISMAS


                                                                gustavo.minarelli@gmail.com




• Quais são os mistérios que envolvem este novo tema?
• Quais os benefícios de cada uma destas disciplinas, tão importantes na Gestão Moderna dos
investimentos em tecnologia nas organizações.
• Como é possível fazer com que a estratégia de TI faça parte da estratégia de negócios?
• Dicas para que os novos profissionais ganhem destaque nesta nova ordem do mercado, e para que os
mais experientes aproveitem esta nova oportunidade!

Mais conteúdo relacionado

Mais procurados

Gestão de Projetos e Empreendedorismo (05/02/2014)
Gestão de Projetos e Empreendedorismo (05/02/2014)Gestão de Projetos e Empreendedorismo (05/02/2014)
Gestão de Projetos e Empreendedorismo (05/02/2014)
Alessandro Almeida
 
O Mal do Produtismo
O Mal do ProdutismoO Mal do Produtismo
O Mal do Produtismo
Mariana Zaparolli Martins
 
TDC2018SP | Trilha Agile - Los 3 amigos: Como descentralizar a informacao uni...
TDC2018SP | Trilha Agile - Los 3 amigos: Como descentralizar a informacao uni...TDC2018SP | Trilha Agile - Los 3 amigos: Como descentralizar a informacao uni...
TDC2018SP | Trilha Agile - Los 3 amigos: Como descentralizar a informacao uni...
tdc-globalcode
 
Estrategia Agil de Negocios
Estrategia Agil de NegociosEstrategia Agil de Negocios
Estrategia Agil de Negocios
Mariana Zaparolli Martins
 
BPMS - Do processo à execução do processo
BPMS -  Do processo à execução do processoBPMS -  Do processo à execução do processo
BPMS - Do processo à execução do processo
CompanyWeb
 
Gestao e Agilidade - Agile Trends 2019
Gestao e Agilidade - Agile Trends 2019Gestao e Agilidade - Agile Trends 2019
Gestao e Agilidade - Agile Trends 2019
Mariana Zaparolli Martins
 
Workshop Entregando Valor E Não Apenas Funcionalidades
Workshop Entregando Valor E Não Apenas FuncionalidadesWorkshop Entregando Valor E Não Apenas Funcionalidades
Workshop Entregando Valor E Não Apenas Funcionalidades
Marcelo Neves
 
TDC2018SP | Trilha Agile Coaching - Os desafios da transformacao Agil e o pap...
TDC2018SP | Trilha Agile Coaching - Os desafios da transformacao Agil e o pap...TDC2018SP | Trilha Agile Coaching - Os desafios da transformacao Agil e o pap...
TDC2018SP | Trilha Agile Coaching - Os desafios da transformacao Agil e o pap...
tdc-globalcode
 
Qual é o papel de um Analista de Negócios em um time ágil?
Qual é o papel de um Analista de Negócios em um time ágil?Qual é o papel de um Analista de Negócios em um time ágil?
Qual é o papel de um Analista de Negócios em um time ágil?
Marcelo Neves
 
Agile Brazil - Metas, avaliacao e Agilidade - parceiros ou rivais?
Agile Brazil - Metas, avaliacao e Agilidade - parceiros ou rivais?Agile Brazil - Metas, avaliacao e Agilidade - parceiros ou rivais?
Agile Brazil - Metas, avaliacao e Agilidade - parceiros ou rivais?
Mariana Zaparolli Martins
 
Kanban Brazil 2021 - Como o KMM está apoiando a Transformação Digital na Riac...
Kanban Brazil 2021 - Como o KMM está apoiando a Transformação Digital na Riac...Kanban Brazil 2021 - Como o KMM está apoiando a Transformação Digital na Riac...
Kanban Brazil 2021 - Como o KMM está apoiando a Transformação Digital na Riac...
Fábio Micheletti
 
TDC2018SP | Trilha Agile Coaching - AGILE COACH NESTA 4 REVOLUcaO INDUSTRIAL ...
TDC2018SP | Trilha Agile Coaching - AGILE COACH NESTA 4 REVOLUcaO INDUSTRIAL ...TDC2018SP | Trilha Agile Coaching - AGILE COACH NESTA 4 REVOLUcaO INDUSTRIAL ...
TDC2018SP | Trilha Agile Coaching - AGILE COACH NESTA 4 REVOLUcaO INDUSTRIAL ...
tdc-globalcode
 
TDC2018SP | Trilha Agile - Voadora na Pleura Central da Peridural ? Como nao ...
TDC2018SP | Trilha Agile - Voadora na Pleura Central da Peridural ? Como nao ...TDC2018SP | Trilha Agile - Voadora na Pleura Central da Peridural ? Como nao ...
TDC2018SP | Trilha Agile - Voadora na Pleura Central da Peridural ? Como nao ...
tdc-globalcode
 
Agilidade - A arte de desprojetizar
Agilidade - A arte de desprojetizarAgilidade - A arte de desprojetizar
Agilidade - A arte de desprojetizar
Mariana Zaparolli Martins
 
Digital Business Design (Design de Negócios Digitais)
Digital Business Design (Design de Negócios Digitais)Digital Business Design (Design de Negócios Digitais)
Digital Business Design (Design de Negócios Digitais)
Rildo (@rildosan) Santos
 
Treinamentos In Company - ADDTECH
Treinamentos In Company - ADDTECHTreinamentos In Company - ADDTECH
Treinamentos In Company - ADDTECH
.add
 
Gestão e Agilidade - Juntas são mais fortes (mai20)
Gestão e Agilidade - Juntas são mais fortes (mai20)Gestão e Agilidade - Juntas são mais fortes (mai20)
Gestão e Agilidade - Juntas são mais fortes (mai20)
Mariana Zaparolli Martins
 
Capacitação em Design Thinking na Gestão de Processos - ADDTECH e Enjourney
Capacitação em Design Thinking na Gestão de Processos - ADDTECH e EnjourneyCapacitação em Design Thinking na Gestão de Processos - ADDTECH e Enjourney
Capacitação em Design Thinking na Gestão de Processos - ADDTECH e Enjourney
.add
 
Agilidade & Diversidade v30m
Agilidade & Diversidade v30mAgilidade & Diversidade v30m
Agilidade & Diversidade v30m
Mariana Zaparolli Martins
 
TDC2017 | São Paulo - Trilha Análise de Negócios How we figured out we had a ...
TDC2017 | São Paulo - Trilha Análise de Negócios How we figured out we had a ...TDC2017 | São Paulo - Trilha Análise de Negócios How we figured out we had a ...
TDC2017 | São Paulo - Trilha Análise de Negócios How we figured out we had a ...
tdc-globalcode
 

Mais procurados (20)

Gestão de Projetos e Empreendedorismo (05/02/2014)
Gestão de Projetos e Empreendedorismo (05/02/2014)Gestão de Projetos e Empreendedorismo (05/02/2014)
Gestão de Projetos e Empreendedorismo (05/02/2014)
 
O Mal do Produtismo
O Mal do ProdutismoO Mal do Produtismo
O Mal do Produtismo
 
TDC2018SP | Trilha Agile - Los 3 amigos: Como descentralizar a informacao uni...
TDC2018SP | Trilha Agile - Los 3 amigos: Como descentralizar a informacao uni...TDC2018SP | Trilha Agile - Los 3 amigos: Como descentralizar a informacao uni...
TDC2018SP | Trilha Agile - Los 3 amigos: Como descentralizar a informacao uni...
 
Estrategia Agil de Negocios
Estrategia Agil de NegociosEstrategia Agil de Negocios
Estrategia Agil de Negocios
 
BPMS - Do processo à execução do processo
BPMS -  Do processo à execução do processoBPMS -  Do processo à execução do processo
BPMS - Do processo à execução do processo
 
Gestao e Agilidade - Agile Trends 2019
Gestao e Agilidade - Agile Trends 2019Gestao e Agilidade - Agile Trends 2019
Gestao e Agilidade - Agile Trends 2019
 
Workshop Entregando Valor E Não Apenas Funcionalidades
Workshop Entregando Valor E Não Apenas FuncionalidadesWorkshop Entregando Valor E Não Apenas Funcionalidades
Workshop Entregando Valor E Não Apenas Funcionalidades
 
TDC2018SP | Trilha Agile Coaching - Os desafios da transformacao Agil e o pap...
TDC2018SP | Trilha Agile Coaching - Os desafios da transformacao Agil e o pap...TDC2018SP | Trilha Agile Coaching - Os desafios da transformacao Agil e o pap...
TDC2018SP | Trilha Agile Coaching - Os desafios da transformacao Agil e o pap...
 
Qual é o papel de um Analista de Negócios em um time ágil?
Qual é o papel de um Analista de Negócios em um time ágil?Qual é o papel de um Analista de Negócios em um time ágil?
Qual é o papel de um Analista de Negócios em um time ágil?
 
Agile Brazil - Metas, avaliacao e Agilidade - parceiros ou rivais?
Agile Brazil - Metas, avaliacao e Agilidade - parceiros ou rivais?Agile Brazil - Metas, avaliacao e Agilidade - parceiros ou rivais?
Agile Brazil - Metas, avaliacao e Agilidade - parceiros ou rivais?
 
Kanban Brazil 2021 - Como o KMM está apoiando a Transformação Digital na Riac...
Kanban Brazil 2021 - Como o KMM está apoiando a Transformação Digital na Riac...Kanban Brazil 2021 - Como o KMM está apoiando a Transformação Digital na Riac...
Kanban Brazil 2021 - Como o KMM está apoiando a Transformação Digital na Riac...
 
TDC2018SP | Trilha Agile Coaching - AGILE COACH NESTA 4 REVOLUcaO INDUSTRIAL ...
TDC2018SP | Trilha Agile Coaching - AGILE COACH NESTA 4 REVOLUcaO INDUSTRIAL ...TDC2018SP | Trilha Agile Coaching - AGILE COACH NESTA 4 REVOLUcaO INDUSTRIAL ...
TDC2018SP | Trilha Agile Coaching - AGILE COACH NESTA 4 REVOLUcaO INDUSTRIAL ...
 
TDC2018SP | Trilha Agile - Voadora na Pleura Central da Peridural ? Como nao ...
TDC2018SP | Trilha Agile - Voadora na Pleura Central da Peridural ? Como nao ...TDC2018SP | Trilha Agile - Voadora na Pleura Central da Peridural ? Como nao ...
TDC2018SP | Trilha Agile - Voadora na Pleura Central da Peridural ? Como nao ...
 
Agilidade - A arte de desprojetizar
Agilidade - A arte de desprojetizarAgilidade - A arte de desprojetizar
Agilidade - A arte de desprojetizar
 
Digital Business Design (Design de Negócios Digitais)
Digital Business Design (Design de Negócios Digitais)Digital Business Design (Design de Negócios Digitais)
Digital Business Design (Design de Negócios Digitais)
 
Treinamentos In Company - ADDTECH
Treinamentos In Company - ADDTECHTreinamentos In Company - ADDTECH
Treinamentos In Company - ADDTECH
 
Gestão e Agilidade - Juntas são mais fortes (mai20)
Gestão e Agilidade - Juntas são mais fortes (mai20)Gestão e Agilidade - Juntas são mais fortes (mai20)
Gestão e Agilidade - Juntas são mais fortes (mai20)
 
Capacitação em Design Thinking na Gestão de Processos - ADDTECH e Enjourney
Capacitação em Design Thinking na Gestão de Processos - ADDTECH e EnjourneyCapacitação em Design Thinking na Gestão de Processos - ADDTECH e Enjourney
Capacitação em Design Thinking na Gestão de Processos - ADDTECH e Enjourney
 
Agilidade & Diversidade v30m
Agilidade & Diversidade v30mAgilidade & Diversidade v30m
Agilidade & Diversidade v30m
 
TDC2017 | São Paulo - Trilha Análise de Negócios How we figured out we had a ...
TDC2017 | São Paulo - Trilha Análise de Negócios How we figured out we had a ...TDC2017 | São Paulo - Trilha Análise de Negócios How we figured out we had a ...
TDC2017 | São Paulo - Trilha Análise de Negócios How we figured out we had a ...
 

Destaque

ENCOAD 2016 - Compliance nas Organizações
ENCOAD 2016 - Compliance nas OrganizaçõesENCOAD 2016 - Compliance nas Organizações
ENCOAD 2016 - Compliance nas Organizações
Conselho Regional de Administração de São Paulo
 
Ciência, tecnologia e inovação no setor cibernético: desafios e oportunidades
Ciência, tecnologia e inovação no setor cibernético: desafios e oportunidadesCiência, tecnologia e inovação no setor cibernético: desafios e oportunidades
Ciência, tecnologia e inovação no setor cibernético: desafios e oportunidades
SAE - Secretaria de Assuntos Estratégicos da Presidência da República
 
Workshop - Testes de Segurança
Workshop - Testes de SegurançaWorkshop - Testes de Segurança
Workshop - Testes de Segurança
Alan Carlos
 
Recuperando Dados (Data Carving) em Mídias e em Redes - Ricardo Kleber (IFRN)...
Recuperando Dados (Data Carving) em Mídias e em Redes - Ricardo Kleber (IFRN)...Recuperando Dados (Data Carving) em Mídias e em Redes - Ricardo Kleber (IFRN)...
Recuperando Dados (Data Carving) em Mídias e em Redes - Ricardo Kleber (IFRN)...
SegInfo
 
Risk Advisor - Compliance e Gestão de Riscos
Risk Advisor - Compliance e Gestão de RiscosRisk Advisor - Compliance e Gestão de Riscos
Risk Advisor - Compliance e Gestão de Riscos
Fabricio Macedo
 
Forense Remota utilizando ferramentas Open Source
Forense Remota utilizando ferramentas Open SourceForense Remota utilizando ferramentas Open Source
Forense Remota utilizando ferramentas Open Source
Julio Cesar Roque Benatto
 
MASSI Consultoria e Treinamento - Consultoria especializada em Controles Inte...
MASSI Consultoria e Treinamento - Consultoria especializada em Controles Inte...MASSI Consultoria e Treinamento - Consultoria especializada em Controles Inte...
MASSI Consultoria e Treinamento - Consultoria especializada em Controles Inte...
MASSI Consultoria e Treinamento
 
Inovacao, Riscos e Compliance nos Negocios e nas Empresas
Inovacao, Riscos e Compliance nos Negocios e nas EmpresasInovacao, Riscos e Compliance nos Negocios e nas Empresas
Inovacao, Riscos e Compliance nos Negocios e nas Empresas
Jose Mario Serra
 
Walter.D.Araujo Compliance Parte1
Walter.D.Araujo Compliance Parte1Walter.D.Araujo Compliance Parte1
Walter.D.Araujo Compliance Parte1
walterdaraujo
 
Função de Compliance
Função de Compliance Função de Compliance
Função de Compliance
Priscila Stuani
 
Maturidade do Compliance no Brasil
Maturidade do Compliance no BrasilMaturidade do Compliance no Brasil
Maturidade do Compliance no Brasil
Edgar Gonçalves
 
O que é e para que serve Compliance?
O que é e para que serve Compliance?O que é e para que serve Compliance?
O que é e para que serve Compliance?
Priscila Stuani
 
Apostila sobre Big Data
Apostila sobre Big DataApostila sobre Big Data
Apostila sobre Big Data
Fernando Palma
 
Treinamento Compliance e Ética
Treinamento Compliance e ÉticaTreinamento Compliance e Ética
Treinamento Compliance e Ética
Sérgio Martins
 
Palestra Sobre Perícia e Investigação Digital
Palestra Sobre Perícia e Investigação DigitalPalestra Sobre Perícia e Investigação Digital
Palestra Sobre Perícia e Investigação Digital
Deivison Pinheiro Franco.·.
 
Guia de uso para anúncios Self-Service no LinkedIn
Guia de uso para anúncios Self-Service no LinkedInGuia de uso para anúncios Self-Service no LinkedIn
Guia de uso para anúncios Self-Service no LinkedIn
LinkedIn
 

Destaque (16)

ENCOAD 2016 - Compliance nas Organizações
ENCOAD 2016 - Compliance nas OrganizaçõesENCOAD 2016 - Compliance nas Organizações
ENCOAD 2016 - Compliance nas Organizações
 
Ciência, tecnologia e inovação no setor cibernético: desafios e oportunidades
Ciência, tecnologia e inovação no setor cibernético: desafios e oportunidadesCiência, tecnologia e inovação no setor cibernético: desafios e oportunidades
Ciência, tecnologia e inovação no setor cibernético: desafios e oportunidades
 
Workshop - Testes de Segurança
Workshop - Testes de SegurançaWorkshop - Testes de Segurança
Workshop - Testes de Segurança
 
Recuperando Dados (Data Carving) em Mídias e em Redes - Ricardo Kleber (IFRN)...
Recuperando Dados (Data Carving) em Mídias e em Redes - Ricardo Kleber (IFRN)...Recuperando Dados (Data Carving) em Mídias e em Redes - Ricardo Kleber (IFRN)...
Recuperando Dados (Data Carving) em Mídias e em Redes - Ricardo Kleber (IFRN)...
 
Risk Advisor - Compliance e Gestão de Riscos
Risk Advisor - Compliance e Gestão de RiscosRisk Advisor - Compliance e Gestão de Riscos
Risk Advisor - Compliance e Gestão de Riscos
 
Forense Remota utilizando ferramentas Open Source
Forense Remota utilizando ferramentas Open SourceForense Remota utilizando ferramentas Open Source
Forense Remota utilizando ferramentas Open Source
 
MASSI Consultoria e Treinamento - Consultoria especializada em Controles Inte...
MASSI Consultoria e Treinamento - Consultoria especializada em Controles Inte...MASSI Consultoria e Treinamento - Consultoria especializada em Controles Inte...
MASSI Consultoria e Treinamento - Consultoria especializada em Controles Inte...
 
Inovacao, Riscos e Compliance nos Negocios e nas Empresas
Inovacao, Riscos e Compliance nos Negocios e nas EmpresasInovacao, Riscos e Compliance nos Negocios e nas Empresas
Inovacao, Riscos e Compliance nos Negocios e nas Empresas
 
Walter.D.Araujo Compliance Parte1
Walter.D.Araujo Compliance Parte1Walter.D.Araujo Compliance Parte1
Walter.D.Araujo Compliance Parte1
 
Função de Compliance
Função de Compliance Função de Compliance
Função de Compliance
 
Maturidade do Compliance no Brasil
Maturidade do Compliance no BrasilMaturidade do Compliance no Brasil
Maturidade do Compliance no Brasil
 
O que é e para que serve Compliance?
O que é e para que serve Compliance?O que é e para que serve Compliance?
O que é e para que serve Compliance?
 
Apostila sobre Big Data
Apostila sobre Big DataApostila sobre Big Data
Apostila sobre Big Data
 
Treinamento Compliance e Ética
Treinamento Compliance e ÉticaTreinamento Compliance e Ética
Treinamento Compliance e Ética
 
Palestra Sobre Perícia e Investigação Digital
Palestra Sobre Perícia e Investigação DigitalPalestra Sobre Perícia e Investigação Digital
Palestra Sobre Perícia e Investigação Digital
 
Guia de uso para anúncios Self-Service no LinkedIn
Guia de uso para anúncios Self-Service no LinkedInGuia de uso para anúncios Self-Service no LinkedIn
Guia de uso para anúncios Self-Service no LinkedIn
 

Semelhante a GRC - Palestra Gf 12nov2009

[Workshop] Governança de TI, 1ª Edição
[Workshop] Governança de TI, 1ª Edição[Workshop] Governança de TI, 1ª Edição
[Workshop] Governança de TI, 1ª Edição
Alessandro Almeida
 
Governança e Gestão - 7ª Aula
Governança e Gestão - 7ª AulaGovernança e Gestão - 7ª Aula
Governança e Gestão - 7ª Aula
Alessandro Almeida
 
Gestão da Tecnologia da Informação - Aula 5
Gestão da Tecnologia da Informação - Aula 5Gestão da Tecnologia da Informação - Aula 5
Gestão da Tecnologia da Informação - Aula 5
Alessandro Almeida
 
Governança cobit
Governança cobitGovernança cobit
Governança cobit
fernandao777
 
Aula 5 Governança de TI
Aula 5   Governança de TIAula 5   Governança de TI
Aula 5 Governança de TI
Alexandre Afonso
 
Cobit e itil (1)
Cobit e itil (1)Cobit e itil (1)
Cobit e itil (1)
Rafaela Machado
 
Gestão da Tecnologia da Informação (06/03/2013)
Gestão da Tecnologia da Informação (06/03/2013)Gestão da Tecnologia da Informação (06/03/2013)
Gestão da Tecnologia da Informação (06/03/2013)
Alessandro Almeida
 
Cobit 2
Cobit 2Cobit 2
Administraçao de sistemas unidade vi governanca de ti parte 1
Administraçao de sistemas  unidade vi governanca de ti parte 1Administraçao de sistemas  unidade vi governanca de ti parte 1
Administraçao de sistemas unidade vi governanca de ti parte 1
Vicente Willians Nunes
 
Gestão da TI (25/02/2015)
Gestão da TI (25/02/2015)Gestão da TI (25/02/2015)
Gestão da TI (25/02/2015)
Alessandro Almeida
 
Simulado cobit41
Simulado cobit41Simulado cobit41
Simulado cobit41
Roginho Correa
 
Apresentação Cobit
Apresentação CobitApresentação Cobit
Apresentação Cobit
Marcus Waldson Freitas
 
Gti aula 1
Gti   aula 1Gti   aula 1
Gti aula 1
Jhosafá de Kastro
 
Governança de TI e Datagovernance
Governança de TI e DatagovernanceGovernança de TI e Datagovernance
Governança de TI e Datagovernance
Mário Sérgio
 
[Palestra] Governança de TI
[Palestra] Governança de TI[Palestra] Governança de TI
[Palestra] Governança de TI
Alessandro Almeida
 
Final
FinalFinal
Governança de TI
Governança de TIGovernança de TI
Governança de TI
Marcos Vinicius
 
Gestão da Tecnologia da Informação - Atividade: Governança de TI
Gestão da Tecnologia da Informação - Atividade: Governança de TIGestão da Tecnologia da Informação - Atividade: Governança de TI
Gestão da Tecnologia da Informação - Atividade: Governança de TI
Alessandro Almeida
 
Governancati 110905200921-phpapp01-1
Governancati 110905200921-phpapp01-1Governancati 110905200921-phpapp01-1
Governancati 110905200921-phpapp01-1
Augusto Seixas
 
Governanca de TI
Governanca de TIGovernanca de TI
Governanca de TI
Sandro Servino
 

Semelhante a GRC - Palestra Gf 12nov2009 (20)

[Workshop] Governança de TI, 1ª Edição
[Workshop] Governança de TI, 1ª Edição[Workshop] Governança de TI, 1ª Edição
[Workshop] Governança de TI, 1ª Edição
 
Governança e Gestão - 7ª Aula
Governança e Gestão - 7ª AulaGovernança e Gestão - 7ª Aula
Governança e Gestão - 7ª Aula
 
Gestão da Tecnologia da Informação - Aula 5
Gestão da Tecnologia da Informação - Aula 5Gestão da Tecnologia da Informação - Aula 5
Gestão da Tecnologia da Informação - Aula 5
 
Governança cobit
Governança cobitGovernança cobit
Governança cobit
 
Aula 5 Governança de TI
Aula 5   Governança de TIAula 5   Governança de TI
Aula 5 Governança de TI
 
Cobit e itil (1)
Cobit e itil (1)Cobit e itil (1)
Cobit e itil (1)
 
Gestão da Tecnologia da Informação (06/03/2013)
Gestão da Tecnologia da Informação (06/03/2013)Gestão da Tecnologia da Informação (06/03/2013)
Gestão da Tecnologia da Informação (06/03/2013)
 
Cobit 2
Cobit 2Cobit 2
Cobit 2
 
Administraçao de sistemas unidade vi governanca de ti parte 1
Administraçao de sistemas  unidade vi governanca de ti parte 1Administraçao de sistemas  unidade vi governanca de ti parte 1
Administraçao de sistemas unidade vi governanca de ti parte 1
 
Gestão da TI (25/02/2015)
Gestão da TI (25/02/2015)Gestão da TI (25/02/2015)
Gestão da TI (25/02/2015)
 
Simulado cobit41
Simulado cobit41Simulado cobit41
Simulado cobit41
 
Apresentação Cobit
Apresentação CobitApresentação Cobit
Apresentação Cobit
 
Gti aula 1
Gti   aula 1Gti   aula 1
Gti aula 1
 
Governança de TI e Datagovernance
Governança de TI e DatagovernanceGovernança de TI e Datagovernance
Governança de TI e Datagovernance
 
[Palestra] Governança de TI
[Palestra] Governança de TI[Palestra] Governança de TI
[Palestra] Governança de TI
 
Final
FinalFinal
Final
 
Governança de TI
Governança de TIGovernança de TI
Governança de TI
 
Gestão da Tecnologia da Informação - Atividade: Governança de TI
Gestão da Tecnologia da Informação - Atividade: Governança de TIGestão da Tecnologia da Informação - Atividade: Governança de TI
Gestão da Tecnologia da Informação - Atividade: Governança de TI
 
Governancati 110905200921-phpapp01-1
Governancati 110905200921-phpapp01-1Governancati 110905200921-phpapp01-1
Governancati 110905200921-phpapp01-1
 
Governanca de TI
Governanca de TIGovernanca de TI
Governanca de TI
 

GRC - Palestra Gf 12nov2009

  • 1. GRC - Governando a TI (Governança), com sabedoria (Gestão de Riscos) e como todos esperam (Compliance) Gustavo Lens Minarelli Gerente de Projetos CGEIT, ITIL, ISO27001 Lead Auditor, COBIT, ISMAS gustavo.minarelli@gmail.com • Quais são os mistérios que envolvem este novo tema? • Quais os benefícios de cada uma destas disciplinas, tão importantes na Gestão Moderna dos investimentos em tecnologia nas organizações. • Como é possível fazer com que a estratégia de TI faça parte da estratégia de negócios? • Dicas para que os novos profissionais ganhem destaque nesta nova ordem do mercado, e para que os mais experientes aproveitem esta nova oportunidade!
  • 2. Agenda O que é GRC, qual sua importância? O cenário nas empresas? Governança Gestão de Riscos Compliance Esta bem, como fazer GRC?
  • 3. Como estamos hoje? A tendência (o mais fácil) é que nos agarremos a pedaços de informações sem uma análise do quadro maior Atacamos os meios, sem método e às vezes sem nem mesmo conhecer o problema.
  • 4. As metas das Entregar valor organizações para os negócios Com um risco aceitável Gerenciando com eficiência Com uso eficiente de recursos
  • 5. Como saber se esta Quem define o que é valor são as tudo bem? partes interessadas Quem aceita os riscos são as partes interessadas Quem define o que é gerenciar corretamente são as partes interessadas Quem dá os recursos necessários são as partes interessadas
  • 6. Como a maior parte das organizações estão hoje? Tentamos nos agarrar a metodologia isoladas, em busca de uma solução mágica para os problemas das organizações
  • 7. Frameworks, padrões, modelos, … PCI-DSS COBIT 4.1 ISO/IEC 27001 eSCM BASEL II NIST 800-53 BS 7799 ISO Guide 73 ISO 15408 ANS RN 114 ITIL ISO DIS 31000 CMM COSO BITS ISO 3WD 25700 BS 25999:1 2006 AS/NZS 4360 HIPAA BC 3380 FISMA BS 25999 ISO/IEC 17799 ISO/IEC TR 13335 BC 2553 ISO/IEC 27005
  • 8. Frameworks, padrões, modelos, … Assim, vivemos uma época em que esta sendo necessário gerenciar os negócios com um pé no acelerador e outro no freio ....mas, acelerar continua sendo a prioridade das empresas
  • 9. Uma constatação do óbvio O método é um instrumento para resolver problemas e não a solução em si
  • 10. Renascença Época de mudanças •Intelecto •Assimilação de conhecimento •Estruturas sociais •Educação •Arte •Ciência
  • 14. O que é GRC? Governança Gestão de Compliance Riscos
  • 15. Uma nova onda “GRC é uma das principais prioridades dos negócios”
  • 16. Objetivos de Controle de TI para atender Sarbanes Oxley
  • 18. Situação atual das organizações Ilhas organizacionais e funcionais Fonte: Open Compliance & Ethics Group
  • 19. GRC: Situação desejavel IT Fonte: Open Compliance & Ethics Group
  • 20. Benefícios do GRC • Valor das ações • Confiabilidade e o prestígio da organização • Fraudes • Perdas (ex: multas, incidentes operacionais) • fidelidade dos acionistas, sócios, direção, colaboradores, parceiros , fornecedores.... • Competitividade, melhorando a capacidade da organização tomar decisões rápidas e certeiras • Melhora a comunicação na empresa, aumentando a confiança e a “boa vontade” • Promove a sustentabilidade da empresa - Transparência - Manutenção dos ideais com (Confiança e Integridade) - Responsabilidade da organização com a sociedade
  • 21. E Você no GRC? • Mude a forma de pensar • Faça os outros mudarem também (seja um agente da mudança) • Aproveite as oportunidade que estão surgindo • Ganhe respeito e prestígio • Faça os deveres do dia-a-dia • Mantenha equilíbrio entre detalhe (micro) e a estratégia (macro) • Planeje-se seja realista no curto prazo e visionário no longo prazo
  • 22. Governança de TI Governança Gestão de Compliance Riscos
  • 26. Governança de TI Definição MIT “Especificação dos direitos decisórios e do framework de responsabilidades para estimular comportamentos desejáveis na área de TI.” Governança de TI trata de três questões: Quais decisões devem ser tomadas para garantir a gestão e o uso eficazes de TI? Quem deve tomar estas decisões? Como estas decisões serão tomadas e monitoradas?
  • 27. Governança de TI Paralelo com Governança Corporativa Conselho de Administração Governança Comitê de TI CEO, CFO, Usuários Serviços Objetivos de CIO Resultados Negócios Equipe de TI Gestão
  • 28. Governança de TI Paralelo com Governança Corporativa Acionistas Governança Assembléia Conselho de Administração Transparência Direcionamento CEO Resultados Alinhamento Organização Gestão
  • 29. Referência para TI: Cobit 4 CobiT é reconhecido mundialmente e adotado como referência por muitas empresas como um modelo de referência para a Governança de TI
  • 30. Framework Cobit Auxilia na inclusão da estratégia de TI na estratégia de negócios; Tem a missão de atender aos objetivos de negócio; Organiza TI através de um modelo amplamente aceitável; Identifica recursos de TI necessários; Ajuda a definir objetivos de controle que precisam ser implementados.
  • 31. BUSINESS OBJECTIVES AND GOVERNANCE OBJECTIVES C O B I T ME1 Monitor and evaluate IT F RAMEWO R K PO1 Define a strategic IT plan. performance. INFORMATION PO2 Define the information ME2 Monitor and evaluate internal architecture. control. Efficiency Integrity PO3 Determine technological ME3 Ensure compliance with Effectiveness Availability direction. external requirements. Compliance PO4 Define the IT processes, ME4 Provide IT governance. Confidentiality Reliability organization and relationships. PO5 Manage the IT investment. MONITOR PLAN PO6 Communicate management AND AND aims and direction. EVALUATE ORGANISE PO7 Manage IT human resources. IT PO8 Manage quality. DS1 Define and manage service levels. RESOURCES PO9 Assess and manage IT risks. DS2 Manage third-party services. PO10 Manage projects. DS3 Manage performance and capacity. DS4 Ensure continuous service. Applications DS5 Ensure systems security. Information AI1 Identify automated solutions. DS6 Identify and allocate costs. Infrastructure AI2 Acquire and maintain DS7 Educate and train users. DELIVER People ACQUIRE application software. DS8 Manage service desk and AND AND AI3 Acquire and maintain incidents. SUPPORT IMPLEMENT technology infrastructure. DS9 Manage the configuration. AI4 Enable operation and use. DS10 Manage problems. AI5 Procure IT resources. DS11 Manage data. AI6 Manage changes. DS12 Manage the physical AI7 Install and accredit solutions environment. and changes. DS13 Manage operations.
  • 32. Cobit O Cobit é composto por 34 processos de TI, sendo que um deles é Além disso, para específico para tratar da satisfazer os objetivos Information Criteria Avaliação e Gestão dos de negócios, a Riscos de TI (PO9). Effectiveness informação precisa IT Process Efficiency atender critérios de Confidentiality controle, que o COBIT Integrity refere como requisitos Availability do negócio para a Business Requirement Compliance informação. Reliability Control Approach IT Resources IT Processes Applications Domains Consideration Information Processes • …………………………… Activities Infrastructure • …………………………… • ……………………..…….. People
  • 33. PO9 – Avaliação e Gestão de Riscos em TI
  • 34. Integração de TI com os Negócios Visão do CobiT Balanced ScoreCard, Planejamento Estratégico Objetivos de Negocios CobiT 4 CobiT 4 Objetivos de TI Procesos de TI Maturidade
  • 35. Business Goals X IT Goals
  • 36. IT Goals X IT Processes
  • 37. Gestão de Riscos Governança Gestão de Compliance Riscos
  • 38. O que é risco? “ efeito das incertezas nos objetivos”
  • 39. Risco: Ameaça ou Oportunidade
  • 40. Falta um vínculo entre o conselho, diretoria e as unidades de negócio Conselho Executivo
  • 41. Falta um vínculo entre o conselho, diretoria e as unidades de negócio Pessoas Conselho Executivo Tecnologia Processos
  • 42. Oportunidades para o GRC Conselhos de Unidades de administração Negócios • Não estabelece o tom para a gestão • Não relacionam a Gestão de Riscos aos de riscos. objetivos estratégicos • Não entende a gestão de riscos como • Não identificam ou avaliam completamente os vantagem competitiva. riscos relacionados a compliance, leis e regulamentações • Tem mínima participação nas discussões sobre risco da organização • Permanecem identificando, apenas, riscos “técnicos” • Possuem pouca visibilidade da Gestão de Riscos das organizações. • Só cumprem, não avaliam • Não comunica expectativas a respeito • Só controlam, não avaliam dos riscos para a gerencia executiva
  • 44. Quais são os riscos? Conhecemos nossos riscos?
  • 45. Quais são os riscos?
  • 46. Ameaças de Fraude - Integridade
  • 47. Ameaças de Sabotagem - Disponibilidade
  • 48. O pior risco... O pior risco é não ter uma gestão de riscos adequada
  • 49. Quais são os riscos?
  • 50. Análise de causa-efeito Fonte: Wikipedia
  • 52. Riscos Vs Governança de TI (Cobit) efeito efeito for Business efeito evento achieving Objectives i to Business Processes efeito Information provide IT Resources and Processes Exemplo de riscos em TI (adaptado do COBIT)
  • 53. COSO/ERM Enterprise Risk Management - COSO/ERM – The Committee of Sponsoring Organizations / Enterprise Risk Management - Framework de Gestão de Riscos Empresariais (ERM – Enterprise Risk Management) - Concebido inicialmente para atender instituições financeiras através da avaliação de controle internos, - Expandido para a gestão de riscos operacionais de qualquer natureza
  • 54. COSO/ERM - Enterprise Risk Management 4 categorias de objetivos ISO 31000 8 componentes interrelacionados
  • 55. Desafio de uma linguagem comum • ISO Guide 73: Risk Management - Vocabulary • ISO 31000: Risk Management – Principles and Guidelines on implementation
  • 56. ISO31000 – Gestão de Riscos Processo de Gestão de Riscos: Aplicação sistemática de políticas de gestão, procedimentos e práticas para as atividades de comunicação, consulta, definição de contexto, identificação, análise, avaliação, tratamento, monitoração e análise crítica referentes ao risco.
  • 57. Principais desafios da Gestão de Riscos - Escassez de informações - Estatísticas inexistentes - Controles e indicadores inadequados ao contexto dos eventos - Dificuldades em estimar probabilidades e impacto
  • 58. Compliance Governança Gestão de Compliance Riscos
  • 59. Fé vs Confiança Santo Isidoro de Sevilla Patrono da Internet ISO 27001 vs
  • 61. Série ISO 27000 Norma Descrição Estágio 27000 Visão Geral e Vocabulário FDIS Requisitos de Sistemas de Gestão de Segurança Publicada 27001 da Informação 2005 Código de prática para Gestão da Segurança da Publicada 27002 Informação 2005 Diretrizes para Implementação de Sistemas de 27003 Gestão de Segurança da Informação DIS Métricas de Sistemas de Gestão de Segurança da 27004 Informação DIS Publicada 27005 Gestão de Riscos de Segurança da Informação 2008 Requisitos para Acreditação das Partes - Publicada 27006 Sistemas de Gestão de Segurança da Informação 2007 Diretrizes para auditar Sistemas de Gestão de 27007 Segurança da Informação WD
  • 62. Adoção da ISO27001 no mundo Pag.62
  • 63. ISO/IEC 27005 Gestão de Riscos para Segurança da Informação Pag.63
  • 64. Visão Integrada COSO COBIT ISO 17799 ISO 9000 O QUÊ ITIL COMO Escopo de cobertura Fonte: Introductory COBIT Presentation - ISACA
  • 65. COBIT e outros frameworks 65
  • 66. Sarbanes-Oxley Act (SOX) Fonte: Revista CIO
  • 67. Por exemplo: ISO 27001 e SOX 67
  • 68. Por exemplo: Basilea II Eventos de Risco Operacionais e CobiT 68
  • 69. Por exemplo: Cartão de Crédito – Padrão de Segurança Payment Card Industry - Data Security Standard www.pcisecuritystandards.org/
  • 70. Motivadores (Gazeta do Povo) Quadrilha presa lucrava R$ 20 milhões por mês com cartões clonados http://portal.rpc.com.br/gazetadopovo/vidaecidadania/conteudo.phtml?id=818455
  • 72. PROCESSOS DE NEGÓCIO SISTEMAS CHAVE PROGRAMA DE COMPLIANCE INVENTARIAR ANALIZAR RISCO AVALIAR RISCO TRATAR RISCOS • Estabelecer políticas e objetivos claros • Implementar e auditar políticas, responsabilidades, processos e procedimentos • Implementar correções e ações preventivas, mantendo a conformidade • Evitar retrabalho, realizando ações integradas para analisar as conformidades CULTURA ORGANIZACIONAL
  • 73. As metas das Entregar valor organizações para os negócios Com um risco aceitável Gerenciando com eficiência Com uso eficiente de recursos
  • 74. Como saber se esta Quem define o que é valor são as tudo bem? partes interessadas Quem aceita os riscos são as partes interessadas Quem define o que é gerenciar corretamente são as partes interessadas Quem dá os recursos necessários são as partes interessadas
  • 75. Deixe de lado o papel de “Cavaleiro do Apocalípse, pense em 360º
  • 76. Comprometimento • GRC afeta toda a organização (TI e Não-TI) • O sucesso de um programa estruturado de GRC depende do comprometimento do alto escalão (governança) • Não basta só o comprometimento, mas é necessário também o envolvimento das principais áreas envolvidas (governança) • Uma das formas de começar é: • Coletar métricas sobre as não conformidades (compliance) • Identificar benefícios gerais para os negócios (risco) • Identificar e quantificar o Risco das não conformidades para o negócio (risco) • Quais as potenciais perdas que serão evitadas (risco)? • Quais os principais ganhos que as melhorias proporcionaram?! (risco)
  • 77. Comprometimento • Envolva clientes e fornecedores na sua iniciativa, elas também são interessadas em ajudá-lo a promover a iniciativa na sua organização • Uma consultoria (opinião isenta) poderá ajudá-lo no esforço de conscientização interno • Estabeleça um fórum e um comitê de acompanhamento do programa de conformidade • Evite a tentação de assumir o papel de “mensageiro do apocalipse”
  • 78. Mude o foco • Atingimos 150 controles implementados de 599 possíveis • ....... • Estamos protegendo nossos clientes • Estamos mantendo a operação da nossa organização • Reduzimos a fraudes com cartão de crédito! • Estamos garantindo a rentabilidade dos nossos negócios Se o seu problema for apenas atingir o “compliance” terá dificuldades de vender o seu projeto para a sua organização
  • 79. Mude o foco A decisão final é sempre da alta gerência A menos que sejam subsidiados de informação lógica e racional sobre o porque eles precisam assumir uma determinada direção, eles não assumirão Auxilie o seu executivo a comparar o (até agora) seu problema com outros problemas que estão na agenda da empresa Você poderá até conseguir investimentos apenas com o argumento de “should be compliance” mas será o suficiente para investir em 10 cadeados para laptops
  • 80. Foque nas oportunidades • Ganhos financeiros com a otimização dos processo • Criação de um diferencial competitivo • Aumento das vendas • Valorização da marca • ....
  • 81. Ex: Compliance com PCI Quando uma empresa tem dados confidenciais roubados sofre imediatamente impactos……. • Financeiros – Multas, ressarcimento • Código Civil - sanções legais • Perda de credibilidade / Reputação / Imagem • Redução de valor de suas ações • Perda de mercado - Os clientes NÃO COMPRAM se não se sentirem seguros • Redução no valor de seus serviços - Os cliente pagam mais por transações seguras!
  • 82. Lembre-se que GRC significa INTEGRAÇÃO • Ganhe parceria de outros projetos na sua organização • Não reinvente a roda • Aproveite controles já existentes, você não precisa ter um controle diferente para cada FRAMEWORK existente no mercado • Invista na parceria com outras áreas de controle ou auditoria interna da organização que tenham objetivos semelhantes aos seus
  • 83. Entenda como você está Inicial/ Repetitivo/ Gerenciado y Inexistente Definido Optimizado Ad Hoc Intuitivo Medido 0 1 2 3 4 5 83
  • 84. Verificar conformidade com as regulamentações ex: Cobit Vs Sox Feito com:
  • 85. Analisar os riscos para os objetivos dos negócios IT Goals Vs IT Processes Vs Business Goals Feito com:
  • 86. Analisar diferenças entre o estado atual e o desejado e implementar práticas de controle Alta Alta Criticidade Mejorar Analisar Observar possivel Baja Baja desperdício Baja Alta Baja Alta Maturidade Maturidade
  • 87. Implementando GRC – “Quick Wins” Gestão de Continuidade dos Negocios Gestão de Riscos Governança Workflow e Painel de Controle (Dashboard) Requisitos Legais e Gap Analysis Regulatórios (Cobit, ISO 27000, BS 25999, ...) Implementação de Políticas
  • 88. Lembre-se: TI é parte integral da estratégica de negócio Negócios/ Visão Executiva / Processos Sistemas / Serviços Ativos
  • 89. GRC - Governando a TI (Governança), com sabedoria (Gestão de Riscos) e como todos esperam (Compliance) Gustavo Lens Minarelli Gerente de Projetos CGEIT, ITIL, ISO27001 Lead Auditor, COBIT, ISMAS gustavo.minarelli@gmail.com • Quais são os mistérios que envolvem este novo tema? • Quais os benefícios de cada uma destas disciplinas, tão importantes na Gestão Moderna dos investimentos em tecnologia nas organizações. • Como é possível fazer com que a estratégia de TI faça parte da estratégia de negócios? • Dicas para que os novos profissionais ganhem destaque nesta nova ordem do mercado, e para que os mais experientes aproveitem esta nova oportunidade!