O documento discute a gestão de riscos, definindo risco como a combinação entre a probabilidade e o impacto de eventos futuros. A análise de riscos identifica eventos, avalia probabilidades e impactos. A gestão de riscos busca garantir que objetivos estratégicos de negócio não sejam comprometidos por falhas de TI, requerendo revisão e aprovação da alta gestão no plano de ação. A gestão de riscos deve ser um processo contínuo de monitoramento e avaliação.

1. Risco
Um fator estratégico
Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.

2. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
www.ShieldSaaS.com
contato@ShieldSaaS.com

3. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
VAMOS COMEÇAR?

4. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
Impacto Frequência
Risco

5. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
O que é risco?
A que riscos estou exposto?
Qual o meu apetite ao risco?
Como mensuro o meu risco?

6. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
Risco é...
...o resultado objetivo da combinação entre a probabilidade de
ocorrência de um determinado evento, aleatório, futuro e o
impacto resultante caso ele ocorra.

7. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
• O conceito de risco é associado
à ideia de futuro
• O risco no passado é evento, e
não mais risco
• O estudo de riscos é baseado
em probabilidades e estudos de
eventos passados

8. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
Gestão
Equipes
Frameworks
TI x
negócio
Ciclo

9. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
Gestão de riscos
Sob a visão do negócio

10. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.

11. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
Processos
Presidência
Financeiro RH TI SI Produto Marketing
Equipes Sistemas Ambientes Documentos Fornecedores

12. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
ProcessosTI como vetor de ameaça
Presidência
Financeiro RH TI SI Produto Marketing
Equipes Sistemas Ambientes Documentos Fornecedores
Riscos do
negócio
Riscos
Financeiros
Riscos de
RH
Riscos de
TI
Riscos de
compliance
Riscos de
produtos
Riscos de
imagem

13. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
TI como vetor de ameaça
Se os riscos de TI são tão vitais,
como isso afeta e gera riscos para o negócio?

14. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
TI como vetor de ameaça

15. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
Magnitude
Frequência
Como percebemos o risco?
Oportunidades
Baixo
Médio
Alto

16. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
Magnitude
Frequência
Como percebemos o risco?
Planeja realizar
Aceita
Controla Nega ou evita

17. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
Como percebemos o risco?
Apetite ao risco: Quantidade de
risco definida pelo board que se
está disposto a assumir em prol do
atendimento à sua missão
estratégica
importantes

18. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
Como percebemos o risco?
importantes
Tolerância ao risco: Variação
aceitável relativa ao
atingimento de uma meta ou
objetivo

19. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
• Maneira como os envolvidos
compreende as consequências
pelo potencial da ocorrência do
risco
• Está diretamente relacionada a
experiências anteriores e
expectativas futuras
• A percepção de risco tende à
psicologia

20. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
- Demonstrar maturidade gerencial
- Suporte no direcionamento estratégico
- Condição para abertura de capital
- Atendimento a regulamentação
Outros benefícios
estratégicos

21. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
Equipes envolvidas

22. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
Accountability
Relacionado àqueles
que possuem os
recursos e tem a
autoridade para
aprovar a execução e
ou aceitar a saída que
venha de uma
atividade
Responsibility
Relacionado àqueles
que devem garantir
que as atividades
foram cumpridas
conforme os
requisitos definidos

23. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
Presidência
Financeiro RH TI SI Produto Marketing

24. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
Board
CIO
CEO
CRO
CFO
Comitês de risco
Gestores
PMO
Controles internos
RH
Auditoria
Responsável ou
parcialmente accountable
Totalmente accountable

25. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
Comunicação
de
Riscos
Capacidade
de
tratamento
Status e
indicadores
Expectativas
estratégicas

26. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
Comunicação
de
Riscos
Programa de gestão de riscos
Indicadores e métodos de métricas
Procedimentos, material de conscientização
Avaliação de maturidade segundo framework

27. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
TI x Negócio

28. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
Processos
Presidência
Financeiro RH TI SI Produto Marketing
Equipes Sistemas Ambientes Documentos Fornecedores

29. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
Os principais projetos da organização dependem de .....
As boas práticas do ITIL sugerem o ponto central de
contato na .......
A ...... é responsável pela guarda de informações e
dados em backup
O orçamento da ....... é historicamente um dos maiores
em grande parte das organizações
Em geral, quando a organização vai expandir, a
“infantaria” é representada pela .....

30. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
Frameworks

31. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
Complementa o CobiT4.1 no sentido de gestão e percepção
estratégica de riscos de TI no processo de gestão estratégica da
governança de TI.
Suporta o mercado de riscos (financeiro) com visões estratégicas
sobre os riscos da organização
Norma da família ISO 27000 dedicada a tratar do tema “Gestão de
Riscos” com o enfoque em segurança da informação
Norma Australiana-Neozelandesa para tratamento e gestão de
riscos. Uma das referências que cita “risco” como podendo ser
positivo (oportunidade)
Norma ISO publicada no final de 2011 com enfoque em unificar o
tema dando um cunho geral e não só de TI ou financeiro
É um conjunto de ferramentas, técnicas e métodos para Avaliações
de risco de segurança da informação e planejamento estratégico.
OCTAVE
Risk IT
(CobiT 4.1)
AS/NZS
4360
COSO
ISO 27005
ISO 31000

32. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
Ciclo e manutenção
Modelo da ISO 27005

33. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
AAR
Análise de Riscos
Definição de contexto
Identificação de riscos
Estimativa de riscos
Avaliação de riscos
ComunicaçãodoRisco
Avaliação
satisfatória?
MonitoramentoeAnáliseCríticadeRiscos
Tratamento do Risco
Aceitação do risco
O tratamento foi
satisfatório?

34. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
Para anotar
Finalizando...

35. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
Risco e a combinação entre a probabilidade de ocorrência de um
determinado evento e o impacto resultante caso ele ocorra.
AAnálise de Riscos é o processo pelo qual são relacionados os eventos, os
impactos e avaliadas as probabilidades destes se concretizarem
O gerenciamento de riscos busca garantir que os objetivos estratégicos de
negocio não sejam expostos por falhas de TI
A alta direção deve revisar e aprovar o plano de ação (accountability)
O gerenciamento de riscos deve ser um processo contínuo e em constante

36. Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
Obrigado
Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
www.ShieldSaaS.com
www.slideshare.net/ShieldSaaS
www.Facebook.com/ShieldSaaS
www.twitter.com/ShieldSaaS
contato@ShieldSaaS.com