A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Governança de TI e Gestão de Riscos Contingência e Continuidade de Negócios.

Apresentações semelhantes


Apresentação em tema: "Governança de TI e Gestão de Riscos Contingência e Continuidade de Negócios."— Transcrição da apresentação:

1 Governança de TI e Gestão de Riscos Contingência e Continuidade de Negócios

2 Currículo Economista, Pós Graduado em Segurança de Dados e Sistemas Formado pelo DRII em Contingência e Continuidade Membro do Grupo de Notáveis da Coordenadoria de Investigações de Crimes Eletrônicos do MP do RJ Profesor da Cadeira de Contingência e Continuidade de Negócios da UniRio e UFRJ (Núcleo de Computação Eletrônica) Escritor do único livro em língua portuguesa sobre o assunto Consultor e Palestrante com mais de 30 projetos de sucesso nos mais diversos segmentos organizacionais

3 Quem Acredita em Gerenciar Riscos ?

4 Fernando, reconheço a importância, reconheço a pertinência, mas a questão de Continuidade de Negócios não é prioridade para as empresas no Brasil. Elas se preocupam com faturamento, participação no mercado, insolvência e rentabilidade. Seu negócio é ideal para a realidade de países como a Inglaterra ou Itália. Países que dão valor ao tempo e sofrem de ameaças mais sérias que greves. Ruy Gress, presidente do IQB - Indústria Farmacêutica Como o Empresário Entende Continuidade (Segurança) ?

5 Pesquisa publicada na Computerworld de 19/11/2003 Características de Eventos no Brasil Abaixo de

6 Governança Antes de entendermos o que é Governança de TI, devemos tratar da questão mais ampla da Governança Corporativa nas empresas. Este tema tornou-se um tema dominante nos negócios devido a safra de escândalos corporativos em meados de 2002 – Enron, Worldcom e Tyco, para citar apenas algumas. O interesse na governança corporativa não é novo, mas a gravidade dos impactos financeiros das fraudes executadas pelas empresas já citadas, abalou a confiança dos investidores. A crise de confiança do setor corporativo contribuiu para a pressão descendente nos preços das ações, estimulando assim as empresas a tomarem uma atitude para contornar esta situação. Discurso de Posse do Presidente de uma Grande Empresa de Telecom

7 ISO Basiléia 2 ITIL COBIT Sarbannes-Oxley SUSEP BaCen CVM ANATEL Requisitos de Negócio Dever = Pertinência + Importância

8 Pesquisa feita pela KPMG com 250 empresas brasileiras publicada em 04/02/04. Pertinência + Importância = Medo

9 Medo de Que ?

10 Pesquisa publicada na Computerworld de 19/11/2003 Qual a maior Motivação ?

11

12 Objetos da Governança Ativos humanos: pessoas, habilidades, planos de carreira, treinamento, relatório, mentoring, competências etc. Ativos financeiros: dinheiro, investimentos, passivo, fluxo de caixa, contas a receber etc. Ativos físicos: prédios, fábricas, equipamentos, manutenção, segurança, utilização etc. Ativos de PI (Propriedade Intelectual): incluindo o know-how de produtos, serviços e processos devidamente patenteados, registrandos ou embutido nas pessoas e nos sistemas da empresa. Ativos de informação e TI: dados digitalizados, informações e conhecimentos sobre clientes, desempenho de processos, finanças, sistemas de informação e assim por diante. Ativos de relacionamento: relacionamentos dentro da empresa, bem como relacionamentos, marca e reputação junto a clientes, fornecedores, unidades de negócio, órgãos reguladores, concorrentes, revendas autorizadas etc.

13 Mecanismos da Governança Controle e Monitoramento de Ativos Apoio e suporte da Alta Direção Definição do papel e utilização dos Ativos de TI: Transparência Suporte Controle Processos Procedimentos Métricas

14 Objetivos de Proteção Ativos humanos: Realizam processos e detêm relacionamentos Ativos financeiros: Justificam as ações da Organização Ativos físicos: Abrigam a Organização Ativos de PI (Propriedade Intelectual): Valores Intangíveis da Organização Ativos de informação e TI: Viabilizam processos, através da redução de custos e aumento da produtividade, refletindo resultados obtidos. Controle. Ativos de relacionamento: Intermedia comunicações internas e externas; identifica a marca e reputação junto a clientes, fornecedores, unidades de negócio, órgãos reguladores, concorrentes, revendas autorizadas etc.

15 Porquê Governança ? Porque suas ações e seus requisitos de transparência podem preservar (minimizar) a responsabilidade legal dos administradores, que na prática não conseguem responder pelas ações da maioria dos funcionários da Organização

16 Como Definir nosso Risco ?

17 Fonte: Disaster Recovery Journal Padronizando Conceitos Evento: Fato de origem voluntária ou não que apresenta risco de dano. Também denominado Fator de Risco

18 Avaliação: considera a pior situação, no pior momento, no cenário mais pessimista Cenário: consistente com a realidade da Organização Controle: deveria ser proativo, preditivo e corretivo Padronizando Conceitos Risco: é a medida para um fator de incerteza

19 CausasPercentual Falha Humana50 a 80 % Greves10 a 17 % Forças da Natureza 10 a 15 % Sabotagem3 a 4 % Alagamento2 a 3 % Estranhos à Organização 1 a 3 % Causas de Danos a Sistemas de Informação Fonte: Adaptado de Forcht, K.A., Computer Security Management, p. 66 Padronizando Conceitos Dano: Conseqüência nociva acarretada por um Evento. Impacto de resultado prejudicial. Justifica a Contingência.

20 Oferece uma métrica para a criticidade Avalia igualmente Processos ou Componentes Apresenta variáveis de custos tangíveis, custos intangíveis e períodos de tempo Identifica recursos mínimos necessários Seu resultado evidencia a importância das variáveis em função de perdas e prazos de tolerância à interrupções Padronizando Conceitos BIA (Business Impact Analysis): é a Análise de Impacto nos Negócios, acarretada pela indisponibilidade de um Processo (atividade) ou Componente (recurso por ele utilizado)

21 Indica responsabilidades Orienta funções Define locais Indica o RTO (Recovery Time Objectives) – Objetivos de Prazos para Recuperação Indica o RPO (Recovery Point Objective) – Objetivos de Pontos de Recuperação Padronizando Conceitos Disaster Recovery Plan (DRP): Plano de Recuperação de Desastres. É a documentação das atividades necessárias para restauração ou substituição dos recursos (Componentes) utilizados pelos Processos de Negócios

22 Um Plano de Recuperação de Desastres (PRD) visa a reposição/restauração de um dos Componentes que suportam os PNs (p.e: a troca de um Servidor de Rede). Como Funciona ?

23 Monitora e controla Fatores de Risco Indica responsabilidades e/ou substitutos Indica onde será realizado Indica como será executado É orientado pelos resultados obtidos pelo BIA, especialmente no que tange às variáveis de tempo e custos Padronizando Conceitos Operational Contingency Plan (OCP): Plano de Contingência Operacional. Documenta procedimentos e atividades alternativas para serviços de TI ou Processos de Negócios

24 O Plano de Contingência (PCO) permite a execução do PN, mesmo que um Componente encontre-se indisponível (p.e.: como trabalhar sem telefonia ?). Como Funciona ?

25 Padronizando Conceitos Business Continuity Plan (BCP): Plano de Continuidade de Negócios. É o conjunto de procedimentos documentados pelo PRD e pelo PCO, monitorado por um Plano de Gerenciamento de Crises (PRD) que facilita sua gestão e atualização. Orienta resposta aos Impactos mais prováveis Considera os principais (críticos) processos da organização Consolida responsabilidades, locais e prazos Indica parâmetros de RTO e RPO, evidenciados pelo BIA Evidencia elementos para auditoria e atendimento de requistos legais ou normativos

26 Um PCN traça um plano aonde o PCO e o PRD são executados simultaneamente, garantindo a continuidade do PN e a reposição/restauração do Componente paralelamente Como Funciona ? PGC

27 O quê é um PCN ? (resposta da Prova !) Metodologia que desenvolve estratégias alternativas para execução de processos 1 ou sistemas 2, minimizando os possíveis impactos acarretados pela sua interrupção, imposta por qualquer tipo de evento e que pode acarretar algum tipo de perda, financeira ou não. 1: PCN com foco para Continuidade dos Negócios 2: PCN com foco em Componentes de Tecnologia de Informação

28 As Dificuldades são as Mesmas em Qualquer Lugar !

29 Riscos x Impactos Fatores de Risco são aleatórios e imprevisíveis, comparando-se ao efeito de uma onda, cuja intensidade e dano estarão vinculados ao cenário de ocorrência quando se concretiza

30 Riscos x Impactos Impactos são previsíveis, de acordo com o conhecimento do ambiente onde se manifestam e vinculados aos Eventos que se concretizaram, podendo ser contidos através de medidas de mitigação, independente do cenário

31 LEMBRETE Erros tendem a se repetir…

32 Como Definir nosso Risco ? Risco = ƒ Σ Vulnerabilidades Σ Impactos

33 Como Definir nosso Risco ? Risco = ƒ Link+Pessoas+HW+Telefonia+ ? Parada de Processos ou Serviços

34 Como Definir nossa Estratégia ? Disponibilidade = ƒ Σ Tolerância à Parada Σ Tempo de Recuperação

35 Como Definir nossa Estratégia ? Disponibilidade = ƒ 2 horas 6 horas

36 DICA É fácil fazer difícil. Difícil é fazer fácil !

37 Como Funciona ? Tolerância à Paradas Tempo para Recuperação Índice de Disponibilidade 12 horas1 hora12 6 horas3 horas2 4 horas 1 1 hora12 horas0.083

38 Como Funciona ? Tolerância à Paradas Índice de Disponibilidade Custo de Parada 12 horas12R$ 500,00 6 horas2R$ 5.000,00 4 horas1R$ ,00 1 hora0.083R$ 10,00

39 Padrão de Segurança BS 7799: Reino Unido NBR ISO/IEC 17799: Brasil/Internacional Definem um conjunto de boas práticas de gestão da segurança Servem de base às políticas de segurança Seus controles permitem a auditoria de segurança de informações

40 SOX – Act 2002 NÃO possui requisitos de Segurança, MAS exige: Empresas possuam uma Política de Segurança abrangente Empresas definam sua classificação de segurança de Dados Empresas identifiquem seus Riscos e respectivos Impactos nos Negócios Empresas possuam procedimentos e padrões formais de Segurança Empresas possuam documentos que formalizem suas bases de segurança, auditoria e testes atualizados Empresas possuam uma definição clara de reponsabilidades Empresas possuam políticas e procedimentos definidos para o Gerenciamento de Mudanças, Suporte, Requisitos de Serviços, bem como para mudanças de Aplicativos, Políticas e Procedimentos

41 Normas + Circulares (BR) Baseadas em Referências já consolidadas (ITIL/COBIT/ISO/BS) ou Regulatórias (SarbOx) Exigem transparência Exigem mapeamento de riscos Exigem disponibilidade Exigem integridade Exigem confidencialidade Visão de Segurança

42 Atende BS 7799, ISO 17799, CobiT, ITIL, MOF, BACEN, SUSEP Não faz parte do SOX. Mas o resultado do BIA atende a vários itens da Seção 404 Deve garantir a continuidade dos negócios (com base na operação de TI) em caso de incidentes ou mesmo desastres totais Será usado em caso de problemas – deve ser simples, fácil de entender e deve estar disponível às pessoas certas na hora certa É um compromisso entre o nível de garantia de continuidade e uso de recursos (pessoas, equipamentos, serviços) PCN

43 Crescimento de mercados (exigindo aumento na dependência de TI) Aumento na utilização de redes Ampliação das bandas Processamento e conectividade transformando-se em commodities (no prazo de 5 anos) Jonathan Schwartz COO da Sun Tendências a Serem Consideradas

44

45 Nick Carr Jornalista e Escritor Redução de CPD próprios Centralização de CPDs (terceirizados) A gestão de TI tornar-se cada vez mais a gestão de Serviços O maior obstáculo para a comoditização do processamento de informação não é tecnológico. É cultural Tendências a Serem Consideradas

46

47 Continuidade como exigência legal Alta disponibilidade como requisito de negócio Continuidade agregando valor ao produto/serviço Responsabilização pessoal dos aspectos legais das empresas Terceirização dos serviços de TI (Virtualização) Tendências a Serem Consideradas

48 Inove !

49 Não basta explicitar: É preciso divulgar Não basta divulgar: É preciso praticar Objetivo viável: É a média entre o que se quer com o que se pode Recomendações Finais

50 International Association of Emergency Managers – Non-US individual Membership: US$ 50 Student Membership: US$ 25

51 ...se existirem duas ou mais formas de fazer uma tarefa, e uma delas puder provocar um desastre, alguém irá adotá-la... Edward Murphy Jr. ( ) Lembrete # 1

52 É mais barato criar uma solução para Continuidade de Negócios do que reduzir seus riscos a zero. Fernando Marinho (1964-) Lembrete # 2

53 Dúvidas (21)


Carregar ppt "Governança de TI e Gestão de Riscos Contingência e Continuidade de Negócios."

Apresentações semelhantes


Anúncios Google