SlideShare uma empresa Scribd logo
Governança de riscos
- Governança, Riscos e Conformidade

JefersonD’Addario, CBCP, CRISC, MBCI
Business Continuity & Security Senior Practices Leader
Sócio-Diretor


 São Paulo, 05 de Outubro 2011




jeferson@daryus.com.br             www.daryus.com.br
www.twitter.com/jefebrasil         www.twitter.com/daryusbr
JefersonD’Addario
CBCP pelo DRII-USA,
MBCI pelo BCI-UK,
CRISC pela ISACA
ISO 27001 Lead Auditor pelo BSI-UK,
CobitFoundationCertified pela ISACA,
ITIL e ISFS pelo EXIN

Sócio-fundador DARYUS, Consultor Sênior em Continuidade de Negócios eSegInfo.
Formação em Economia e TI. Mais de 16 anos e 34 projetos no Brasil e Exterior para
empresas como: CVG Edelca Venezuela, Johnson & Johnson companies, Novartis, Sandoz,
CAGECE, 3 Coracoes, Grupo Votorantim, PDVSA, HSBC, Vale, Bovespa, Banco Mercantil do
Brasil, Grupo Accor – Ticket, Comgás, GRSA, MBR, Grupo Ultra, Petrobrás, Liquigás,
Gerdau, Natura Banco BGN S/A, GVT, SAMARCO Mineração, FISEPE entre outros.

Ganhador do Prêmio SECMASTER 2006 na categoria de Melhor Contribuição para o
Desenvolvimento de Mercado. Responsável por trazer o DRII para o Brasil.

Coordenador e professor do curso de GTSI – Gestão e Tecnologia em Segurança da
Informação     da     FIT    –    Faculdade  Impacta    Tecnologia    –    SP-SP.
Atuoutambémcomodocente de cursos de pós-graduaçãopara a FATEC-SP e IPEN – Instituto
de PesquisasNucleares – USP – SP.




   Restritoao GRM. © Copyright 2011. DARYUS – São Paulo – Brasil. | www.globalriskmeeting.com.br | +55 11 3285-6539
Quem somos?

• Fundada em 2005

•Empresa 100% nacional

• Unidades de Negócios: Consultoria e Educação

    • Consultoria: Referência em Continuidade de Negócios, Segurança da
    Informação e Gestão de Riscos

    • Educação: Parceria exclusiva com DRII desde 2005, parceira oficial do EXIN
    e da ISACA, possui desde cursos de especialização até pós-graduações.

• Eventos renomados e exclusivos.
Educação


           -Cursos Acadêmicos em parceria com a Faculdade Impacta
                - Pós em Gestão de Segurança da Informação (380 hs)
                - Pós em Governança de TI (380 hs)
                - Pós em Investig. Fraudes e Forense Computacional (120hs)

           -Cursos de Especialização (venda direta e por parceiros)
                - Business Continuity – DRII e DARYUS
                -DisasterRecoveryPlan - DARYUS
                - Analista de Segurança da Informação (SecurityOfficer)
                - ITIL, ISO 27002 foundation, ISO 20000 - EXIN
                -Cobit - ISACA
                - CISA, CISM – ISACA

           -Cursos de Riscos Financeiros e Conformidade
                - Controles Internos
                -Controles Contábeis
                - Gestão de Conformidade
                - Gestão de Riscos
                - Prevenção a Fraude
                - Prevenção a Lavagem de Dinheiro
www.daryuseducation.com.br
        EspecializaçõesePós-Graduações




                 CBCP
                 CFCP
                 ABCP
ISMES
                 MBCP
ISMAS
                 CBCA
ISFS
Algunsclientes




    Restritoao GRM. © Copyright 2011. DARYUS – São Paulo – Brasil. | www.globalriskmeeting.com.br | +55 11 3285-6539
Gartner Executive Summary 2010




Necessitam de gestão de riscos contínua e planejamento de continuidade de negócios
Como um evento pode mudar tanto o
mundo em apenas 102 minutos?
- Mais de 3000 mortos
- Prejuízos de bilhões de dólares (43biU$)
- Re-estudo completo da Gestão de Riscos


Mudança de paradigma na gestão de riscos



                             Copyright © 2007. DARYUS® Strategic Risk Consulting. BRASIL. July 2007                         8
          Restrito. www.daryus.com.br – Avenida Paulista, 1009 – 11o. Andar – cj 1102 - São Paulo – SP – +55 11 3285-6539
Estragos e mortes
- Rio de Janeiro entre os dias 5 e 6 de abril
- 182 mortos, mais de 100 feridos;
- O Serviço de Meteorologia do Rio registrou no período o maior índice
pluviométrico da cidade em mais de 40 anos: 288 mm.




                                                                         9
Governança, RiscoseConformidade
- Inteligência de riscos, umatendênciamundial.


                         Governança
                        Corporativa e                                        ISO 38500
                             de                                               Cobit 4.1
                             TI
   Continuidade                                            BS 25999-1
        de                                  Segurança      BS 25999-2                      ISO 27001
     Negócios                                   da         BS 25777-1                      ISO 27002
                                           Informação      Cobit DS.4                      ISO 27005
                                                                                           Cobit DS.5
                           Leis e                                             Leis e
                      Regulamentações                                    Regulamentações


 Segurança, Saúde
  e Meio Ambiente                       Responsabilidade    ISO 14001
                                             Social                                        ISO 26001
                                                           OHSAS 18001
 Sustentatibilidade                       Corporativa

                         Gestão de                                          ISO 31000
                          Riscos
“Risk management is a multi-disciplinary field and
                             multi-
       covers a large and overlapping range of business
                                                 areas.”
                                                                                               Fonte: BSI 2007. Business Continuity & Risk
                                                                                               Fonte:



“ A gestão de riscos é um campo multi-disciplinar e abrange uma
                                 multi-
                vasta gama e sobreposição de áreas de negócio. "


Tendência mundial



                               Copyright © 2007. DARYUS® Strategic Risk Consulting. BRASIL. July 2007
            Restrito. www.daryus.com.br – Avenida Paulista, 1009 – 11o. Andar – cj 1102 - São Paulo – SP – +55 11 3285-6539
Como me organizar e preparar para que a Resiliencia seja efetiva?
Para que GRC – Governança, Riscos e Conformidade existam, o que é
                                                       necessário?
Equilíbrioéessencial!




Adaptado de BSC – Kaplan e Norton
Passosprincipais


1o. Entendimento do negócio

2o. Análise de RiscoseImpactos

3o. SelecionarEstratégias/Controles

4o. Resposta a incidentes

5o. Capacitareprepararequipes

6o. Testareexercitar
1o. Entenderonegócio

 Estratégicos
                     Business
                                         BSC        Riscos
                       Plan

Primários

                 Lavrar          Beneficiar         Vender              Entregar


 Secundários

                TI          Financeiro         RH            Juridico       Vendas
2o. RiscoseImpactos



                             Pessoas           BIA = IMPACTOS
               Processos
                                                  Quando?

                           TIC                    Quanto?
                                                 Financeiro,
                                                Operacional,
                                                  Imagem,
                                                    Legal

                                                  Por que?
          Alvo da Estratégia de Continuidade
                        (80/20)
Consciência + Regras = Resultados

Diretrizes Gerais de Continuidade:
1.   Garantir a VIDA das pessoas;
2.   MINIMIZAR os impactos e garantir a continuidade das funções críticas;
3.   Proteger a IMAGEM da organização;
4.   Gestão de Continuidade é uma disciplina/domínio de Gestão de Riscos
     ESTRATÉGICOS
5.   Uma POLÍTICA de GCN precisa ser estabelecida
6.   Um processo CONTÍNUO precisa ser implementado e mantido na
     organização
Estrutura da GCN
TCU vê problemas      de segurança de informação em 65% dos
órgãos públicos.

Para se ter uma idéia, 97%
                    dos órgãos não têm o chamado
"plano de continuidade de negócios" --que são diretrizes que
devem ser seguidas em caso de haver uma pane no sistema que interrompa o
serviço.


Fonte: Folha de S. Paulo Set/2010




                                                                     19
”80% dos e-mails oumaissão spam.”
             Segundo a Symantec
" A medidaque a tecnologiaevolui, seuenvolvimento com
      elaémenor. Ela se torna parte dapaisagem ”

       DemiGetschko, conselheiro do CGI Brasil
Prapensar!
                              Prapensar!
1o. O queserá a SI daquiprafrente?

2o. Qualopapel do Security Officer?

3o. TIC enãomais TI

4o. TICI enãomais TIC

5o. TICI comoserviço

6o. Funcionáriosdageração Y

6o. Fimdapadronizaçãoeuma nova regraparao End
Point Security
Security Officer antigo
1- Não entende de negócio

2- Não entende como faz parte do negócio

3- Técnico, geralmente vem de TI e introspectivo

4- Bloqueia tudo, sem entender o por quê

5- Muitas policies e pouca política

6- Dificuldade extrema de entender a gestão
necessária para a função


                                               23
Security Officer novo
1- Entende de negócio

2- Entende como faz parte do negócio

3- Menos técnico, mais diplomático e negociador

4- Bloqueia o necessário, após entender o por quê

5- Política simples, clara e objetiva

6- Aplica a gestão necessária envolvendo pessoas,
processos e tecnologia


                                                  24
RECEITA?




                Justificativa



    LEIS OU                     CUSTO?
REGULAMENTOS?
1. Segurança da Informação NÃO DEVE ser assunto
   somente das empresas e na relação profissional;

2. Leve para casa! É responsabilidade da FAMÍLIA!
                                         FAMÍLIA

3. As campanhas de divulgação de PSI das empresas
   podem abranger recomendações para a vida pessoal
   dos funcionários

4. Crie comunidades de discussão entre os funcionários

5. Crie material na Intranet com orientações mínimas de
   segurança e riscos da Internet para a vida pessoal dos
                                              pess
   funcionários.
6. Você realmente está monitorando o que você faz na
   Internet? seu filho? Sua família?

7. A maioria das brigas de torcidas uniformizadas
   acontecem com arranjos via Internet. Muitos dos
   envolvidos fazem isso de dentro do ambiente de
   trabalho.

8. Socialize a segurança da Informação. É informação e
                            Informação
   não tecnologia da Informação

9. Use as redes sociais para monitoramento de apoio

10. Monitore equipes críticas de TIC e Desenvolvimento de
   Sistemas.
Muito grato!
jeferson@daryus.com.br | www.twitter.com/jefebrasil
 www.daryus.com.br | www.twitter.com/daryusbr
                      11 3285-6539
     Av. Paulista, 1009 – 11º. andar – 01311-000 – SP/SP

Mais conteúdo relacionado

Mais procurados

Risco - um fator estratégico
Risco - um fator estratégicoRisco - um fator estratégico
Risco - um fator estratégico
Shield Consulting
 
Por dentro do risk it
Por dentro do risk itPor dentro do risk it
Por dentro do risk it
anestesiologiaonline
 
Simulado ISO 27002 exin 01 - Segurança da Informação
Simulado ISO 27002 exin 01 - Segurança da InformaçãoSimulado ISO 27002 exin 01 - Segurança da Informação
Simulado ISO 27002 exin 01 - Segurança da Informação
Fernando Palma
 
Gestão de riscos abnt sp-15999-1_3jun2008
Gestão de riscos   abnt sp-15999-1_3jun2008Gestão de riscos   abnt sp-15999-1_3jun2008
Gestão de riscos abnt sp-15999-1_3jun2008
amirahamia
 
Gestao da politica de segurança e operação da informacao
Gestao da politica de segurança e operação da informacaoGestao da politica de segurança e operação da informacao
Gestao da politica de segurança e operação da informacao
Rui Gomes
 
Elo Group Modernizando A AplicaçãO De Matrizes De Risco Orientado A Grc
Elo Group   Modernizando A AplicaçãO De Matrizes De Risco Orientado A GrcElo Group   Modernizando A AplicaçãO De Matrizes De Risco Orientado A Grc
Elo Group Modernizando A AplicaçãO De Matrizes De Risco Orientado A Grc
EloGroup
 
Gestão de Segurança de Processos Baseada em Riscos (RBPS)
Gestão de Segurança de Processos Baseada em Riscos (RBPS)Gestão de Segurança de Processos Baseada em Riscos (RBPS)
Gestão de Segurança de Processos Baseada em Riscos (RBPS)
Robson Peixoto
 
Curso Plano de Continuidade dos Negócios - Overview
Curso Plano de Continuidade dos Negócios  - OverviewCurso Plano de Continuidade dos Negócios  - Overview
Curso Plano de Continuidade dos Negócios - Overview
Data Security
 
Elo Group Evoluindo De Uma GestãO Tradicional De Riscos Para Grc
Elo Group   Evoluindo De Uma GestãO Tradicional De Riscos Para GrcElo Group   Evoluindo De Uma GestãO Tradicional De Riscos Para Grc
Elo Group Evoluindo De Uma GestãO Tradicional De Riscos Para Grc
EloGroup
 
Trabalho De SASI
Trabalho De SASITrabalho De SASI
Trabalho De SASI
Cristiano Garcia
 
Edicao 47
Edicao 47Edicao 47
Edicao 47
keducabral
 
Aula 2 - Gestão de Riscos
Aula 2 - Gestão de RiscosAula 2 - Gestão de Riscos
Aula 2 - Gestão de Riscos
Carlos Henrique Martins da Silva
 
O papel dos altos executivos no sgso
O papel dos altos executivos no sgsoO papel dos altos executivos no sgso
O papel dos altos executivos no sgso
Rusemberg
 
Si segurança e privacidade (1Sem2014)
Si   segurança e privacidade (1Sem2014)Si   segurança e privacidade (1Sem2014)
Si segurança e privacidade (1Sem2014)
Pedro Garcia
 

Mais procurados (14)

Risco - um fator estratégico
Risco - um fator estratégicoRisco - um fator estratégico
Risco - um fator estratégico
 
Por dentro do risk it
Por dentro do risk itPor dentro do risk it
Por dentro do risk it
 
Simulado ISO 27002 exin 01 - Segurança da Informação
Simulado ISO 27002 exin 01 - Segurança da InformaçãoSimulado ISO 27002 exin 01 - Segurança da Informação
Simulado ISO 27002 exin 01 - Segurança da Informação
 
Gestão de riscos abnt sp-15999-1_3jun2008
Gestão de riscos   abnt sp-15999-1_3jun2008Gestão de riscos   abnt sp-15999-1_3jun2008
Gestão de riscos abnt sp-15999-1_3jun2008
 
Gestao da politica de segurança e operação da informacao
Gestao da politica de segurança e operação da informacaoGestao da politica de segurança e operação da informacao
Gestao da politica de segurança e operação da informacao
 
Elo Group Modernizando A AplicaçãO De Matrizes De Risco Orientado A Grc
Elo Group   Modernizando A AplicaçãO De Matrizes De Risco Orientado A GrcElo Group   Modernizando A AplicaçãO De Matrizes De Risco Orientado A Grc
Elo Group Modernizando A AplicaçãO De Matrizes De Risco Orientado A Grc
 
Gestão de Segurança de Processos Baseada em Riscos (RBPS)
Gestão de Segurança de Processos Baseada em Riscos (RBPS)Gestão de Segurança de Processos Baseada em Riscos (RBPS)
Gestão de Segurança de Processos Baseada em Riscos (RBPS)
 
Curso Plano de Continuidade dos Negócios - Overview
Curso Plano de Continuidade dos Negócios  - OverviewCurso Plano de Continuidade dos Negócios  - Overview
Curso Plano de Continuidade dos Negócios - Overview
 
Elo Group Evoluindo De Uma GestãO Tradicional De Riscos Para Grc
Elo Group   Evoluindo De Uma GestãO Tradicional De Riscos Para GrcElo Group   Evoluindo De Uma GestãO Tradicional De Riscos Para Grc
Elo Group Evoluindo De Uma GestãO Tradicional De Riscos Para Grc
 
Trabalho De SASI
Trabalho De SASITrabalho De SASI
Trabalho De SASI
 
Edicao 47
Edicao 47Edicao 47
Edicao 47
 
Aula 2 - Gestão de Riscos
Aula 2 - Gestão de RiscosAula 2 - Gestão de Riscos
Aula 2 - Gestão de Riscos
 
O papel dos altos executivos no sgso
O papel dos altos executivos no sgsoO papel dos altos executivos no sgso
O papel dos altos executivos no sgso
 
Si segurança e privacidade (1Sem2014)
Si   segurança e privacidade (1Sem2014)Si   segurança e privacidade (1Sem2014)
Si segurança e privacidade (1Sem2014)
 

Destaque

Estudo de caso iso 27005
Estudo de caso iso 27005Estudo de caso iso 27005
Estudo de caso iso 27005
Didimax
 
Implementação de sgsi [impressão]
Implementação de sgsi [impressão]Implementação de sgsi [impressão]
Implementação de sgsi [impressão]
Shield Consulting
 
Slide
SlideSlide
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Giovani Sant'Anna
 
Normas da família ISO 27000
Normas da família ISO 27000Normas da família ISO 27000
Normas da família ISO 27000
Fernando Palma
 
Iso 27002-2013
Iso 27002-2013Iso 27002-2013
Iso 27002-2013
Fabio Martins
 
Segurança em Instituições de Ensino
Segurança em Instituições de EnsinoSegurança em Instituições de Ensino
Segurança em Instituições de Ensino
Ulisses Ferreira do Nascimento, GSP,MBS,CES
 

Destaque (7)

Estudo de caso iso 27005
Estudo de caso iso 27005Estudo de caso iso 27005
Estudo de caso iso 27005
 
Implementação de sgsi [impressão]
Implementação de sgsi [impressão]Implementação de sgsi [impressão]
Implementação de sgsi [impressão]
 
Slide
SlideSlide
Slide
 
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
 
Normas da família ISO 27000
Normas da família ISO 27000Normas da família ISO 27000
Normas da família ISO 27000
 
Iso 27002-2013
Iso 27002-2013Iso 27002-2013
Iso 27002-2013
 
Segurança em Instituições de Ensino
Segurança em Instituições de EnsinoSegurança em Instituições de Ensino
Segurança em Instituições de Ensino
 

Semelhante a Palestra Jeferson D'Addario Governança de Riscos

Palestra sobre Gestão de Continuidade de Negócios
Palestra sobre Gestão de Continuidade de NegóciosPalestra sobre Gestão de Continuidade de Negócios
Palestra sobre Gestão de Continuidade de Negócios
GLM Consultoria
 
Palestra “A Auditoria como ferramenta na Gestão de Riscos”
Palestra “A Auditoria como ferramenta na Gestão de Riscos”Palestra “A Auditoria como ferramenta na Gestão de Riscos”
Palestra “A Auditoria como ferramenta na Gestão de Riscos”
Impacta Eventos
 
Requisitos da continuidade (dos negócios) na segurança da informação
Requisitos da continuidade(dos negócios)na segurança da informaçãoRequisitos da continuidade(dos negócios)na segurança da informação
Requisitos da continuidade (dos negócios) na segurança da informação
Sidney Modenesi, MBCI
 
CONFERENZA - temas, ementas e programas para treinamentos corporativos 2017
CONFERENZA - temas, ementas e programas para treinamentos corporativos 2017CONFERENZA - temas, ementas e programas para treinamentos corporativos 2017
CONFERENZA - temas, ementas e programas para treinamentos corporativos 2017
Gilberto C Porto
 
Plano estratégico de segurança da informação
Plano estratégico de segurança da informação Plano estratégico de segurança da informação
Plano estratégico de segurança da informação
Módulo Security Solutions
 
GRC - Palestra Gf 12nov2009
GRC - Palestra Gf 12nov2009GRC - Palestra Gf 12nov2009
Geração de Valor nas Empresas a partir da Implantação de um Sistema de Gestão...
Geração de Valor nas Empresas a partir da Implantação de um Sistema de Gestão...Geração de Valor nas Empresas a partir da Implantação de um Sistema de Gestão...
Geração de Valor nas Empresas a partir da Implantação de um Sistema de Gestão...
Fabio Marques, PMP
 
Palestra CNASI 2017
Palestra CNASI 2017Palestra CNASI 2017
Palestra CNASI 2017
Fernando Rosario
 
365 saturday - PowerApps Portal na Gestão da Privacidade
365 saturday - PowerApps Portal na Gestão da Privacidade365 saturday - PowerApps Portal na Gestão da Privacidade
365 saturday - PowerApps Portal na Gestão da Privacidade
CLEBER VISCONTI
 
Governança de TI e Segurança da Informação
Governança de TI e Segurança da InformaçãoGovernança de TI e Segurança da Informação
Governança de TI e Segurança da Informação
TI Infnet
 
Segurança da informação em ambientes corporativos
Segurança da informação em ambientes corporativosSegurança da informação em ambientes corporativos
Segurança da informação em ambientes corporativos
rcmenezes
 
LGPD - Governança de Dados - BRAVO DPO
LGPD - Governança de Dados - BRAVO DPO LGPD - Governança de Dados - BRAVO DPO
LGPD - Governança de Dados - BRAVO DPO
Marcelo Silva - CRISC, COBIT, ITIL
 
8ª CONSEGURO - MARCOS SPIGUEL
8ª CONSEGURO - MARCOS SPIGUEL8ª CONSEGURO - MARCOS SPIGUEL
8ª CONSEGURO - MARCOS SPIGUEL
CNseg
 
8ª CONSEGURO - LUCIANO CALHEIROS
8ª CONSEGURO - LUCIANO CALHEIROS8ª CONSEGURO - LUCIANO CALHEIROS
8ª CONSEGURO - LUCIANO CALHEIROS
CNseg
 
Eleição "A Nata dos Profissionais de Segurança da Informação"
Eleição "A Nata dos Profissionais de Segurança da Informação"Eleição "A Nata dos Profissionais de Segurança da Informação"
Eleição "A Nata dos Profissionais de Segurança da Informação"
Paulo Pagliusi, PhD, CISM
 
Governança de TI
Governança de TIGovernança de TI
Governança de TI
Rildo (@rildosan) Santos
 
Gestão de Riscos e Continuidade de Negócios
Gestão de Riscos e Continuidade de NegóciosGestão de Riscos e Continuidade de Negócios
Gestão de Riscos e Continuidade de Negócios
Alvaro Gulliver
 
Política e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticosPolítica e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticos
Bruno Oliveira
 
Gestão por Processo
Gestão por ProcessoGestão por Processo
Gestão por Processo
Rildo (@rildosan) Santos
 
4h Consulting
4h Consulting4h Consulting
4h Consulting
fourhandsconsulting
 

Semelhante a Palestra Jeferson D'Addario Governança de Riscos (20)

Palestra sobre Gestão de Continuidade de Negócios
Palestra sobre Gestão de Continuidade de NegóciosPalestra sobre Gestão de Continuidade de Negócios
Palestra sobre Gestão de Continuidade de Negócios
 
Palestra “A Auditoria como ferramenta na Gestão de Riscos”
Palestra “A Auditoria como ferramenta na Gestão de Riscos”Palestra “A Auditoria como ferramenta na Gestão de Riscos”
Palestra “A Auditoria como ferramenta na Gestão de Riscos”
 
Requisitos da continuidade (dos negócios) na segurança da informação
Requisitos da continuidade(dos negócios)na segurança da informaçãoRequisitos da continuidade(dos negócios)na segurança da informação
Requisitos da continuidade (dos negócios) na segurança da informação
 
CONFERENZA - temas, ementas e programas para treinamentos corporativos 2017
CONFERENZA - temas, ementas e programas para treinamentos corporativos 2017CONFERENZA - temas, ementas e programas para treinamentos corporativos 2017
CONFERENZA - temas, ementas e programas para treinamentos corporativos 2017
 
Plano estratégico de segurança da informação
Plano estratégico de segurança da informação Plano estratégico de segurança da informação
Plano estratégico de segurança da informação
 
GRC - Palestra Gf 12nov2009
GRC - Palestra Gf 12nov2009GRC - Palestra Gf 12nov2009
GRC - Palestra Gf 12nov2009
 
Geração de Valor nas Empresas a partir da Implantação de um Sistema de Gestão...
Geração de Valor nas Empresas a partir da Implantação de um Sistema de Gestão...Geração de Valor nas Empresas a partir da Implantação de um Sistema de Gestão...
Geração de Valor nas Empresas a partir da Implantação de um Sistema de Gestão...
 
Palestra CNASI 2017
Palestra CNASI 2017Palestra CNASI 2017
Palestra CNASI 2017
 
365 saturday - PowerApps Portal na Gestão da Privacidade
365 saturday - PowerApps Portal na Gestão da Privacidade365 saturday - PowerApps Portal na Gestão da Privacidade
365 saturday - PowerApps Portal na Gestão da Privacidade
 
Governança de TI e Segurança da Informação
Governança de TI e Segurança da InformaçãoGovernança de TI e Segurança da Informação
Governança de TI e Segurança da Informação
 
Segurança da informação em ambientes corporativos
Segurança da informação em ambientes corporativosSegurança da informação em ambientes corporativos
Segurança da informação em ambientes corporativos
 
LGPD - Governança de Dados - BRAVO DPO
LGPD - Governança de Dados - BRAVO DPO LGPD - Governança de Dados - BRAVO DPO
LGPD - Governança de Dados - BRAVO DPO
 
8ª CONSEGURO - MARCOS SPIGUEL
8ª CONSEGURO - MARCOS SPIGUEL8ª CONSEGURO - MARCOS SPIGUEL
8ª CONSEGURO - MARCOS SPIGUEL
 
8ª CONSEGURO - LUCIANO CALHEIROS
8ª CONSEGURO - LUCIANO CALHEIROS8ª CONSEGURO - LUCIANO CALHEIROS
8ª CONSEGURO - LUCIANO CALHEIROS
 
Eleição "A Nata dos Profissionais de Segurança da Informação"
Eleição "A Nata dos Profissionais de Segurança da Informação"Eleição "A Nata dos Profissionais de Segurança da Informação"
Eleição "A Nata dos Profissionais de Segurança da Informação"
 
Governança de TI
Governança de TIGovernança de TI
Governança de TI
 
Gestão de Riscos e Continuidade de Negócios
Gestão de Riscos e Continuidade de NegóciosGestão de Riscos e Continuidade de Negócios
Gestão de Riscos e Continuidade de Negócios
 
Política e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticosPolítica e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticos
 
Gestão por Processo
Gestão por ProcessoGestão por Processo
Gestão por Processo
 
4h Consulting
4h Consulting4h Consulting
4h Consulting
 

Último

Caderno de Resumos XVIII ENPFil UFU, IX EPGFil UFU E VII EPFEM.pdf
Caderno de Resumos XVIII ENPFil UFU, IX EPGFil UFU E VII EPFEM.pdfCaderno de Resumos XVIII ENPFil UFU, IX EPGFil UFU E VII EPFEM.pdf
Caderno de Resumos XVIII ENPFil UFU, IX EPGFil UFU E VII EPFEM.pdf
enpfilosofiaufu
 
.Template .padrao .slides .TCC .2024 ppt
.Template .padrao .slides .TCC .2024 ppt.Template .padrao .slides .TCC .2024 ppt
.Template .padrao .slides .TCC .2024 ppt
IslanderAndrade
 
Sinais de pontuação
Sinais de pontuaçãoSinais de pontuação
Sinais de pontuação
Mary Alvarenga
 
Caderno de Formação_PORTUGUÊS ESTRAN.pdf
Caderno de Formação_PORTUGUÊS ESTRAN.pdfCaderno de Formação_PORTUGUÊS ESTRAN.pdf
Caderno de Formação_PORTUGUÊS ESTRAN.pdf
carlaslr1
 
Pintura Romana .pptx
Pintura Romana                     .pptxPintura Romana                     .pptx
Pintura Romana .pptx
TomasSousa7
 
Aula 1 do livro de Ciências do aluno - sons
Aula 1 do livro de Ciências do aluno - sonsAula 1 do livro de Ciências do aluno - sons
Aula 1 do livro de Ciências do aluno - sons
Érika Rufo
 
iNTRODUÇÃO À Plantas terrestres e Plantas aquáticas. (1).pdf
iNTRODUÇÃO À Plantas terrestres e Plantas aquáticas. (1).pdfiNTRODUÇÃO À Plantas terrestres e Plantas aquáticas. (1).pdf
iNTRODUÇÃO À Plantas terrestres e Plantas aquáticas. (1).pdf
andressacastro36
 
PowerPoint Newton gostava de Ler - Saber em Gel.pdf
PowerPoint Newton gostava de Ler - Saber em Gel.pdfPowerPoint Newton gostava de Ler - Saber em Gel.pdf
PowerPoint Newton gostava de Ler - Saber em Gel.pdf
1000a
 
Famílias Que Contribuíram Para O Crescimento Do Assaré
Famílias Que Contribuíram Para O Crescimento Do AssaréFamílias Que Contribuíram Para O Crescimento Do Assaré
Famílias Que Contribuíram Para O Crescimento Do Assaré
profesfrancleite
 
Sócrates e os sofistas - apresentação de slides
Sócrates e os sofistas - apresentação de slidesSócrates e os sofistas - apresentação de slides
Sócrates e os sofistas - apresentação de slides
jbellas2
 
Vogais Ilustrados para alfabetização infantil
Vogais Ilustrados para alfabetização infantilVogais Ilustrados para alfabetização infantil
Vogais Ilustrados para alfabetização infantil
mamaeieby
 
BULLYING NÃO É AMOR.pdf LIVRO PARA TRABALHAR COM ALUNOS ATRAVÉS DE PROJETOS...
BULLYING NÃO É AMOR.pdf LIVRO PARA TRABALHAR COM ALUNOS ATRAVÉS DE PROJETOS...BULLYING NÃO É AMOR.pdf LIVRO PARA TRABALHAR COM ALUNOS ATRAVÉS DE PROJETOS...
BULLYING NÃO É AMOR.pdf LIVRO PARA TRABALHAR COM ALUNOS ATRAVÉS DE PROJETOS...
Escola Municipal Jesus Cristo
 
Apresentação_Primeira_Guerra_Mundial 9 ANO-1.pptx
Apresentação_Primeira_Guerra_Mundial 9 ANO-1.pptxApresentação_Primeira_Guerra_Mundial 9 ANO-1.pptx
Apresentação_Primeira_Guerra_Mundial 9 ANO-1.pptx
JulianeMelo17
 
Slides Lição 10, Central Gospel, A Batalha Do Armagedom, 1Tr24.pptx
Slides Lição 10, Central Gospel, A Batalha Do Armagedom, 1Tr24.pptxSlides Lição 10, Central Gospel, A Batalha Do Armagedom, 1Tr24.pptx
Slides Lição 10, Central Gospel, A Batalha Do Armagedom, 1Tr24.pptx
LuizHenriquedeAlmeid6
 
educação inclusiva na atualidade como ela se estabelece atualmente
educação inclusiva na atualidade como ela se estabelece atualmenteeducação inclusiva na atualidade como ela se estabelece atualmente
educação inclusiva na atualidade como ela se estabelece atualmente
DeuzinhaAzevedo
 
Estrutura Pedagógica - Laboratório de Educação a Distância.ppt
Estrutura Pedagógica - Laboratório de Educação a Distância.pptEstrutura Pedagógica - Laboratório de Educação a Distância.ppt
Estrutura Pedagógica - Laboratório de Educação a Distância.ppt
livrosjovert
 
“A classe operária vai ao paraíso os modos de produzir e trabalhar ao longo ...
“A classe operária vai ao paraíso  os modos de produzir e trabalhar ao longo ...“A classe operária vai ao paraíso  os modos de produzir e trabalhar ao longo ...
“A classe operária vai ao paraíso os modos de produzir e trabalhar ao longo ...
AdrianoMontagna1
 
livro ciclo da agua educação infantil.pdf
livro ciclo da agua educação infantil.pdflivro ciclo da agua educação infantil.pdf
livro ciclo da agua educação infantil.pdf
cmeioctaciliabetesch
 
Slides Lição 11, CPAD, A Realidade Bíblica do Inferno, 2Tr24.pptx
Slides Lição 11, CPAD, A Realidade Bíblica do Inferno, 2Tr24.pptxSlides Lição 11, CPAD, A Realidade Bíblica do Inferno, 2Tr24.pptx
Slides Lição 11, CPAD, A Realidade Bíblica do Inferno, 2Tr24.pptx
LuizHenriquedeAlmeid6
 
Treinamento NR 38 - CORPO PRINCIPAL da NORMA.pptx
Treinamento NR 38 - CORPO PRINCIPAL da NORMA.pptxTreinamento NR 38 - CORPO PRINCIPAL da NORMA.pptx
Treinamento NR 38 - CORPO PRINCIPAL da NORMA.pptx
MarcosPaulo777883
 

Último (20)

Caderno de Resumos XVIII ENPFil UFU, IX EPGFil UFU E VII EPFEM.pdf
Caderno de Resumos XVIII ENPFil UFU, IX EPGFil UFU E VII EPFEM.pdfCaderno de Resumos XVIII ENPFil UFU, IX EPGFil UFU E VII EPFEM.pdf
Caderno de Resumos XVIII ENPFil UFU, IX EPGFil UFU E VII EPFEM.pdf
 
.Template .padrao .slides .TCC .2024 ppt
.Template .padrao .slides .TCC .2024 ppt.Template .padrao .slides .TCC .2024 ppt
.Template .padrao .slides .TCC .2024 ppt
 
Sinais de pontuação
Sinais de pontuaçãoSinais de pontuação
Sinais de pontuação
 
Caderno de Formação_PORTUGUÊS ESTRAN.pdf
Caderno de Formação_PORTUGUÊS ESTRAN.pdfCaderno de Formação_PORTUGUÊS ESTRAN.pdf
Caderno de Formação_PORTUGUÊS ESTRAN.pdf
 
Pintura Romana .pptx
Pintura Romana                     .pptxPintura Romana                     .pptx
Pintura Romana .pptx
 
Aula 1 do livro de Ciências do aluno - sons
Aula 1 do livro de Ciências do aluno - sonsAula 1 do livro de Ciências do aluno - sons
Aula 1 do livro de Ciências do aluno - sons
 
iNTRODUÇÃO À Plantas terrestres e Plantas aquáticas. (1).pdf
iNTRODUÇÃO À Plantas terrestres e Plantas aquáticas. (1).pdfiNTRODUÇÃO À Plantas terrestres e Plantas aquáticas. (1).pdf
iNTRODUÇÃO À Plantas terrestres e Plantas aquáticas. (1).pdf
 
PowerPoint Newton gostava de Ler - Saber em Gel.pdf
PowerPoint Newton gostava de Ler - Saber em Gel.pdfPowerPoint Newton gostava de Ler - Saber em Gel.pdf
PowerPoint Newton gostava de Ler - Saber em Gel.pdf
 
Famílias Que Contribuíram Para O Crescimento Do Assaré
Famílias Que Contribuíram Para O Crescimento Do AssaréFamílias Que Contribuíram Para O Crescimento Do Assaré
Famílias Que Contribuíram Para O Crescimento Do Assaré
 
Sócrates e os sofistas - apresentação de slides
Sócrates e os sofistas - apresentação de slidesSócrates e os sofistas - apresentação de slides
Sócrates e os sofistas - apresentação de slides
 
Vogais Ilustrados para alfabetização infantil
Vogais Ilustrados para alfabetização infantilVogais Ilustrados para alfabetização infantil
Vogais Ilustrados para alfabetização infantil
 
BULLYING NÃO É AMOR.pdf LIVRO PARA TRABALHAR COM ALUNOS ATRAVÉS DE PROJETOS...
BULLYING NÃO É AMOR.pdf LIVRO PARA TRABALHAR COM ALUNOS ATRAVÉS DE PROJETOS...BULLYING NÃO É AMOR.pdf LIVRO PARA TRABALHAR COM ALUNOS ATRAVÉS DE PROJETOS...
BULLYING NÃO É AMOR.pdf LIVRO PARA TRABALHAR COM ALUNOS ATRAVÉS DE PROJETOS...
 
Apresentação_Primeira_Guerra_Mundial 9 ANO-1.pptx
Apresentação_Primeira_Guerra_Mundial 9 ANO-1.pptxApresentação_Primeira_Guerra_Mundial 9 ANO-1.pptx
Apresentação_Primeira_Guerra_Mundial 9 ANO-1.pptx
 
Slides Lição 10, Central Gospel, A Batalha Do Armagedom, 1Tr24.pptx
Slides Lição 10, Central Gospel, A Batalha Do Armagedom, 1Tr24.pptxSlides Lição 10, Central Gospel, A Batalha Do Armagedom, 1Tr24.pptx
Slides Lição 10, Central Gospel, A Batalha Do Armagedom, 1Tr24.pptx
 
educação inclusiva na atualidade como ela se estabelece atualmente
educação inclusiva na atualidade como ela se estabelece atualmenteeducação inclusiva na atualidade como ela se estabelece atualmente
educação inclusiva na atualidade como ela se estabelece atualmente
 
Estrutura Pedagógica - Laboratório de Educação a Distância.ppt
Estrutura Pedagógica - Laboratório de Educação a Distância.pptEstrutura Pedagógica - Laboratório de Educação a Distância.ppt
Estrutura Pedagógica - Laboratório de Educação a Distância.ppt
 
“A classe operária vai ao paraíso os modos de produzir e trabalhar ao longo ...
“A classe operária vai ao paraíso  os modos de produzir e trabalhar ao longo ...“A classe operária vai ao paraíso  os modos de produzir e trabalhar ao longo ...
“A classe operária vai ao paraíso os modos de produzir e trabalhar ao longo ...
 
livro ciclo da agua educação infantil.pdf
livro ciclo da agua educação infantil.pdflivro ciclo da agua educação infantil.pdf
livro ciclo da agua educação infantil.pdf
 
Slides Lição 11, CPAD, A Realidade Bíblica do Inferno, 2Tr24.pptx
Slides Lição 11, CPAD, A Realidade Bíblica do Inferno, 2Tr24.pptxSlides Lição 11, CPAD, A Realidade Bíblica do Inferno, 2Tr24.pptx
Slides Lição 11, CPAD, A Realidade Bíblica do Inferno, 2Tr24.pptx
 
Treinamento NR 38 - CORPO PRINCIPAL da NORMA.pptx
Treinamento NR 38 - CORPO PRINCIPAL da NORMA.pptxTreinamento NR 38 - CORPO PRINCIPAL da NORMA.pptx
Treinamento NR 38 - CORPO PRINCIPAL da NORMA.pptx
 

Palestra Jeferson D'Addario Governança de Riscos

  • 1. Governança de riscos - Governança, Riscos e Conformidade JefersonD’Addario, CBCP, CRISC, MBCI Business Continuity & Security Senior Practices Leader Sócio-Diretor São Paulo, 05 de Outubro 2011 jeferson@daryus.com.br www.daryus.com.br www.twitter.com/jefebrasil www.twitter.com/daryusbr
  • 2. JefersonD’Addario CBCP pelo DRII-USA, MBCI pelo BCI-UK, CRISC pela ISACA ISO 27001 Lead Auditor pelo BSI-UK, CobitFoundationCertified pela ISACA, ITIL e ISFS pelo EXIN Sócio-fundador DARYUS, Consultor Sênior em Continuidade de Negócios eSegInfo. Formação em Economia e TI. Mais de 16 anos e 34 projetos no Brasil e Exterior para empresas como: CVG Edelca Venezuela, Johnson & Johnson companies, Novartis, Sandoz, CAGECE, 3 Coracoes, Grupo Votorantim, PDVSA, HSBC, Vale, Bovespa, Banco Mercantil do Brasil, Grupo Accor – Ticket, Comgás, GRSA, MBR, Grupo Ultra, Petrobrás, Liquigás, Gerdau, Natura Banco BGN S/A, GVT, SAMARCO Mineração, FISEPE entre outros. Ganhador do Prêmio SECMASTER 2006 na categoria de Melhor Contribuição para o Desenvolvimento de Mercado. Responsável por trazer o DRII para o Brasil. Coordenador e professor do curso de GTSI – Gestão e Tecnologia em Segurança da Informação da FIT – Faculdade Impacta Tecnologia – SP-SP. Atuoutambémcomodocente de cursos de pós-graduaçãopara a FATEC-SP e IPEN – Instituto de PesquisasNucleares – USP – SP. Restritoao GRM. © Copyright 2011. DARYUS – São Paulo – Brasil. | www.globalriskmeeting.com.br | +55 11 3285-6539
  • 3. Quem somos? • Fundada em 2005 •Empresa 100% nacional • Unidades de Negócios: Consultoria e Educação • Consultoria: Referência em Continuidade de Negócios, Segurança da Informação e Gestão de Riscos • Educação: Parceria exclusiva com DRII desde 2005, parceira oficial do EXIN e da ISACA, possui desde cursos de especialização até pós-graduações. • Eventos renomados e exclusivos.
  • 4. Educação -Cursos Acadêmicos em parceria com a Faculdade Impacta - Pós em Gestão de Segurança da Informação (380 hs) - Pós em Governança de TI (380 hs) - Pós em Investig. Fraudes e Forense Computacional (120hs) -Cursos de Especialização (venda direta e por parceiros) - Business Continuity – DRII e DARYUS -DisasterRecoveryPlan - DARYUS - Analista de Segurança da Informação (SecurityOfficer) - ITIL, ISO 27002 foundation, ISO 20000 - EXIN -Cobit - ISACA - CISA, CISM – ISACA -Cursos de Riscos Financeiros e Conformidade - Controles Internos -Controles Contábeis - Gestão de Conformidade - Gestão de Riscos - Prevenção a Fraude - Prevenção a Lavagem de Dinheiro
  • 5. www.daryuseducation.com.br EspecializaçõesePós-Graduações CBCP CFCP ABCP ISMES MBCP ISMAS CBCA ISFS
  • 6. Algunsclientes Restritoao GRM. © Copyright 2011. DARYUS – São Paulo – Brasil. | www.globalriskmeeting.com.br | +55 11 3285-6539
  • 7. Gartner Executive Summary 2010 Necessitam de gestão de riscos contínua e planejamento de continuidade de negócios
  • 8. Como um evento pode mudar tanto o mundo em apenas 102 minutos? - Mais de 3000 mortos - Prejuízos de bilhões de dólares (43biU$) - Re-estudo completo da Gestão de Riscos Mudança de paradigma na gestão de riscos Copyright © 2007. DARYUS® Strategic Risk Consulting. BRASIL. July 2007 8 Restrito. www.daryus.com.br – Avenida Paulista, 1009 – 11o. Andar – cj 1102 - São Paulo – SP – +55 11 3285-6539
  • 9. Estragos e mortes - Rio de Janeiro entre os dias 5 e 6 de abril - 182 mortos, mais de 100 feridos; - O Serviço de Meteorologia do Rio registrou no período o maior índice pluviométrico da cidade em mais de 40 anos: 288 mm. 9
  • 10. Governança, RiscoseConformidade - Inteligência de riscos, umatendênciamundial. Governança Corporativa e ISO 38500 de Cobit 4.1 TI Continuidade BS 25999-1 de Segurança BS 25999-2 ISO 27001 Negócios da BS 25777-1 ISO 27002 Informação Cobit DS.4 ISO 27005 Cobit DS.5 Leis e Leis e Regulamentações Regulamentações Segurança, Saúde e Meio Ambiente Responsabilidade ISO 14001 Social ISO 26001 OHSAS 18001 Sustentatibilidade Corporativa Gestão de ISO 31000 Riscos
  • 11. “Risk management is a multi-disciplinary field and multi- covers a large and overlapping range of business areas.” Fonte: BSI 2007. Business Continuity & Risk Fonte: “ A gestão de riscos é um campo multi-disciplinar e abrange uma multi- vasta gama e sobreposição de áreas de negócio. " Tendência mundial Copyright © 2007. DARYUS® Strategic Risk Consulting. BRASIL. July 2007 Restrito. www.daryus.com.br – Avenida Paulista, 1009 – 11o. Andar – cj 1102 - São Paulo – SP – +55 11 3285-6539
  • 12. Como me organizar e preparar para que a Resiliencia seja efetiva? Para que GRC – Governança, Riscos e Conformidade existam, o que é necessário?
  • 14. Passosprincipais 1o. Entendimento do negócio 2o. Análise de RiscoseImpactos 3o. SelecionarEstratégias/Controles 4o. Resposta a incidentes 5o. Capacitareprepararequipes 6o. Testareexercitar
  • 15. 1o. Entenderonegócio Estratégicos Business BSC Riscos Plan Primários Lavrar Beneficiar Vender Entregar Secundários TI Financeiro RH Juridico Vendas
  • 16. 2o. RiscoseImpactos Pessoas BIA = IMPACTOS Processos Quando? TIC Quanto? Financeiro, Operacional, Imagem, Legal Por que? Alvo da Estratégia de Continuidade (80/20)
  • 17. Consciência + Regras = Resultados Diretrizes Gerais de Continuidade: 1. Garantir a VIDA das pessoas; 2. MINIMIZAR os impactos e garantir a continuidade das funções críticas; 3. Proteger a IMAGEM da organização; 4. Gestão de Continuidade é uma disciplina/domínio de Gestão de Riscos ESTRATÉGICOS 5. Uma POLÍTICA de GCN precisa ser estabelecida 6. Um processo CONTÍNUO precisa ser implementado e mantido na organização
  • 19. TCU vê problemas de segurança de informação em 65% dos órgãos públicos. Para se ter uma idéia, 97% dos órgãos não têm o chamado "plano de continuidade de negócios" --que são diretrizes que devem ser seguidas em caso de haver uma pane no sistema que interrompa o serviço. Fonte: Folha de S. Paulo Set/2010 19
  • 20. ”80% dos e-mails oumaissão spam.” Segundo a Symantec
  • 21. " A medidaque a tecnologiaevolui, seuenvolvimento com elaémenor. Ela se torna parte dapaisagem ” DemiGetschko, conselheiro do CGI Brasil
  • 22. Prapensar! Prapensar! 1o. O queserá a SI daquiprafrente? 2o. Qualopapel do Security Officer? 3o. TIC enãomais TI 4o. TICI enãomais TIC 5o. TICI comoserviço 6o. Funcionáriosdageração Y 6o. Fimdapadronizaçãoeuma nova regraparao End Point Security
  • 23. Security Officer antigo 1- Não entende de negócio 2- Não entende como faz parte do negócio 3- Técnico, geralmente vem de TI e introspectivo 4- Bloqueia tudo, sem entender o por quê 5- Muitas policies e pouca política 6- Dificuldade extrema de entender a gestão necessária para a função 23
  • 24. Security Officer novo 1- Entende de negócio 2- Entende como faz parte do negócio 3- Menos técnico, mais diplomático e negociador 4- Bloqueia o necessário, após entender o por quê 5- Política simples, clara e objetiva 6- Aplica a gestão necessária envolvendo pessoas, processos e tecnologia 24
  • 25. RECEITA? Justificativa LEIS OU CUSTO? REGULAMENTOS?
  • 26. 1. Segurança da Informação NÃO DEVE ser assunto somente das empresas e na relação profissional; 2. Leve para casa! É responsabilidade da FAMÍLIA! FAMÍLIA 3. As campanhas de divulgação de PSI das empresas podem abranger recomendações para a vida pessoal dos funcionários 4. Crie comunidades de discussão entre os funcionários 5. Crie material na Intranet com orientações mínimas de segurança e riscos da Internet para a vida pessoal dos pess funcionários.
  • 27. 6. Você realmente está monitorando o que você faz na Internet? seu filho? Sua família? 7. A maioria das brigas de torcidas uniformizadas acontecem com arranjos via Internet. Muitos dos envolvidos fazem isso de dentro do ambiente de trabalho. 8. Socialize a segurança da Informação. É informação e Informação não tecnologia da Informação 9. Use as redes sociais para monitoramento de apoio 10. Monitore equipes críticas de TIC e Desenvolvimento de Sistemas.
  • 28. Muito grato! jeferson@daryus.com.br | www.twitter.com/jefebrasil www.daryus.com.br | www.twitter.com/daryusbr 11 3285-6539 Av. Paulista, 1009 – 11º. andar – 01311-000 – SP/SP