A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

CONFIDENCIAL Segurança da Informação e Gerenciamento de Riscos nas empresas jornalísticas Carlos Henrique Safini dos Reis Ger. de Riscos e Seg. da Informação.

Apresentações semelhantes


Apresentação em tema: "CONFIDENCIAL Segurança da Informação e Gerenciamento de Riscos nas empresas jornalísticas Carlos Henrique Safini dos Reis Ger. de Riscos e Seg. da Informação."— Transcrição da apresentação:

1 CONFIDENCIAL Segurança da Informação e Gerenciamento de Riscos nas empresas jornalísticas Carlos Henrique Safini dos Reis Ger. de Riscos e Seg. da Informação XXIV Congresso do Comitê de Tecnologia ANJ Rio de Janeiro - 26, 27 e 28 de agosto de 2007

2 28/AGO/2007 COMITÊ DE TECNOLOGIA ANJ Infoglobo? Principais Produtos: –Jornal O Globo –Jornal Extra –Jornal Expresso –Jornal Diário de São Paulo –O Globo Online –Agência O Globo –Valor (parceria) –ZAP (parceria) 5 grandes instalações, 2 parques gráficos, 3000 pessoas

3 28/AGO/2007 COMITÊ DE TECNOLOGIA ANJ Nosso Contexto História de sucesso de mais de 80 anos; Segmento pouco regulamentado mas muito fiscalizado; Sem base de dados histórica sobre perdas para analisar; Empresa de capital fechado; Segmento em fase de grande transformação; Novos concorrentes de peso oriundos de outros segmentos.

4 CONFIDENCIAL Gestão de Riscos..... humn... Entendendo a motivação

5 28/AGO/2007 COMITÊ DE TECNOLOGIA ANJ Brasileiros vs. Atitude Preventiva Guerra Desastres Naturais Terrorismo Faltam motivadores externos para criar os hábitos e estabelecer a cultura de prevenção. O cenário está mudando em função do crescimento da criminalidade, da violência urbana, dos impactos cruzados da economia globalizada e das alterações climáticas Criminalidade

6 28/AGO/2007 COMITÊ DE TECNOLOGIA ANJ Mudanças Climáticas Tornado em Indaiatuba Os prejuízos foram estimados pela prefeitura em R$ 90 milhões para os empresários que tiveram suas indústrias atingidas, R$ 1,5 milhão para os moradores e R$ 6 milhões para a administração pública. Pelo menos 30 empresas estavam na rota do tornado e seis desabaram. Nesta tarde, a energia elétrica foi restabelecida em 99% da cidade. Apenas alguns pontos ainda estavam sem eletricidade.

7 28/AGO/2007 COMITÊ DE TECNOLOGIA ANJ Crises Podem Atingir Grandes Proporções Uma crise pode acontecer no pior momento; Segundo estatísticas publicadas no Meta Research Report (11 de fevereiro de 2002), entidade especializada em gerenciamento de crises: –43% das empresas que sofreram um sinistro de proporções catastróficas, não reabriram, sendo que 29% das empresas que reabriram, depois de 2 anos fecharam; –Companhias que ficaram desprovidas do sistema de informática por mais de 10 dias não conseguiram mais recuperar seus dados; –Crises são extremamente democráticas e politicamente corretas; podem acontecer a qualquer empresa.

8 28/AGO/2007 COMITÊ DE TECNOLOGIA ANJ Grandes Escândalos Financeiros Perda de Confiança nos Números Internacionais Enron; WorldCom; Royal Ahold; Etc. Nacionais; Banco Nacional; Banco Marka; Data Control; Etc.

9 28/AGO/2007 COMITÊ DE TECNOLOGIA ANJ Reações dos Reguladores SOX, PCAOB, Novo Cód. Civil, e-NF, etc. Tempo Complexidade do Regulatória

10 28/AGO/2007 COMITÊ DE TECNOLOGIA ANJ Valorização da Transparência e das Boas Práticas de Gestão

11 28/AGO/2007 COMITÊ DE TECNOLOGIA ANJ Para Atingir Objetivos Corporativos: Pessoas+Processos+Ferramentas Pessoas: Executam os Processos e usam as Ferramentas Para atingir os Objetivos Ferramentas: São manipuladas pelas Pessoas, seguindo os Processos para atingir os Objetivos Processos: Descrevem como as Pessoas irão usar as Ferramentas para atingir os Objetivos >

12 28/AGO/2007 COMITÊ DE TECNOLOGIA ANJ Ferramentas informatizadas Complexidade Crescente Tempo Dependência Tecnológica 100%

13 28/AGO/2007 COMITÊ DE TECNOLOGIA ANJ Estatísticas Sobre Incidentes de Segurança da Informação no Brasil

14 28/AGO/2007 COMITÊ DE TECNOLOGIA ANJ Sapphire Worm ou Slammer (2003) CONFIDENCIAL Infecções dobradas a cada 8.5 segundos Infectados computadores nos primeiros 11 minutos Interrupções na internet, cancelamento de vôos e falhas em ATMs Infecções dobradas a cada 8.5 segundos Infectados computadores nos primeiros 11 minutos Interrupções na internet, cancelamento de vôos e falhas em ATMs No pico, foram varridos 55 milhões de computadores por segundo No pico, foram varridos 55 milhões de computadores por segundo minutos após liberado

15 28/AGO/2007 COMITÊ DE TECNOLOGIA ANJ Então, surgem as perguntas importantes... Que objetivos assumidos junto aos acionistas correm o risco de não serem cumpridos? Corremos riscos de receber multas? De que valores? O que poderia afetar a imagem das nossas marcas? Existe o risco da produção parar ou atrasar? Os nossos segredos estão protegidos? A auditoria externa pode encontrar algum problema importante? Como estamos em relação às empresas semelhantes à nossa?

16 28/AGO/2007 COMITÊ DE TECNOLOGIA ANJ E Também a Necessidade de Ajustar a Percepção dos Executivos SEGURANÇA REAL SEGURANÇA PERCEBIDA SUFICIENTE INADEQUADOADEQUADO INSUFICIENTE Implantação do Processo de Gestão de Riscos&SI Orientação aos Responsáveis pelo Tratamento dos Riscos PERIGO DESCONFORTO IDEAL GASTOS DESNECESSÁRIOS Análise e Conscientização

17 CONFIDENCIAL Gestão de Riscos e Segurança da Informação

18 28/AGO/2007 COMITÊ DE TECNOLOGIA ANJ GERENCIAMENTO DE RISCOS Qual é a origem dos riscos? Pessoas Displicência/negligência na execução de atividades; Desconhecimento/falta de treinamento para a execução de atividades; Manipulação para cometer fraudes; Processos Processo mal definido; Falta de controles; Falta de segregação de funções; Infra-Estrutura Falha em sistema (hardware ou software); Falha na infra-estrutura de serviços básicos (telecomunicações, energia, água, gás, etc.); Agentes/Eventos Externos Imposição de mudanças regulatórias (IVC, trabalhista, federal, estadual, municipal, etc.) Desempenho inadequado de prestadores de serviços; Fraudes de clientes, fornecedores ou outros agentes externos; Acões jurídicas contra a Infoglobo (ações cíveis, descumprimento de obrigações contratuais, CADE, etc.)

19 28/AGO/2007 COMITÊ DE TECNOLOGIA ANJ Definição do COSO para ERM (Enterprise Risk Management) … um processo, executado pela diretoria, gerência e demais profissionais, aplicado na definição das estratégias e na operação do negócio, desenhado para identificar os potenciais eventos que podem afetar a empresa, e que gerencie os riscos dentro do apetite corporativo, para prover uma razoável certeza do atingimento dos objetivos da entidade." "...a process, effected by an entity's board of directors, management and other personnel, applied in strategy setting and across the enterprise, designed to identify potential events that may affect the entity, and manage risks to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives. Source: COSO Enterprise Risk Management – Integrated Framework COSO.

20 28/AGO/2007 COMITÊ DE TECNOLOGIA ANJ Fator Crítico de Sucesso: A Atitude! NOVA GOVERNANÇA REAÇÃO ANTECIPAÇÃO

21 28/AGO/2007 COMITÊ DE TECNOLOGIA ANJ Chance de maiores ganhos ou maiores perdas Chance de maiores ganhos ou maiores perdas Ganhos e perdas menores e mais previsíveis Mais controles Mais controles Mais flexibilidade Valor sustentado e segurança Conformidade Baseado em slide da KPMG LLP (U.S.), 2004 Fator Crítico de Sucesso: Equilibrar Risco e Recompensa

22 28/AGO/2007 COMITÊ DE TECNOLOGIA ANJ Risco Inerente Infra-estrutura Regras e Processos Conscientização e Treinamento Risco Gerenciado Fator Crítico de Sucesso: Balancear os Investimentos

23 28/AGO/2007 COMITÊ DE TECNOLOGIA ANJ Dois Temas com Focos Complementares GESTÃO DE RISCOS GESTÃO DA SEGURANÇA DA INFORMAÇÃO

24 28/AGO/2007 COMITÊ DE TECNOLOGIA ANJ ISO 17799:2005 Garantindo que o acesso à informação seja obtido somente por pessoas autorizadas. Garantindo a integridade da informação e dos sistemas de processamento. Garantindo que os usuários autorizados tenham acesso à informação e aos sistemas sempre que necessário. Garantindo que o destinatário possa verificar a autoria e/ou a origem de uma informação. C onfidencialidade I ntegridade D isponibilidade A utenticidade Ou seja, mantendo a CIDA! Como a Segurança da Informação pode contribuir para a redução de riscos?

25 28/AGO/2007 COMITÊ DE TECNOLOGIA ANJ Padrões de Mercado como Base COSO e ISO17799 Riscos em Comum: Infra-estrutura Segurança Física Sistemas de TI Conformidade Legal Back-Ups Certificados Digitais etc. = Segurança da Informação (Integridade, Confidencialidade e Disponibilidade) Copyright© COSO

26 28/AGO/2007 COMITÊ DE TECNOLOGIA ANJ Avaliar Riscos e Controles Automáticos Manuais DetectivosPreventivos 1.Foco nos riscos dos objetivos estratégicos; 2.Foco na efetividade e eficiência das operações; 3.Foco na confiabilidade dos demonstrativos financeiros; 4.Foco na conformidade com as leis e regulamentos aplicáveis.

27 28/AGO/2007 COMITÊ DE TECNOLOGIA ANJ Consolidar a Gestão de Riscos Conscientizar Iniciar Aplicar Integrar Especializar 1ª etapa 2ª etapa 3ª etapa 4ª etapa 5ª etapa Proposta Melhoria pontual do ambiente de controles internos Aculturamento dos executivos Formalização de normas e processos Proposta Melhoria ampla do ambiente de controles internos Definição da arquitetura de gestão de riscos (política, estrutura, processos e etc) Descentralização da gestão de riscos e controles Proposta Incorporação da gestão de riscos nas atividades diárias Priorização corporativa da administração dos riscos Proposta Métodos específicos de quantificação de riscos Proposta Gestão dos Riscos integrada à Gestão do Negócio

28 28/AGO/2007 COMITÊ DE TECNOLOGIA ANJ Comitê de Riscos e Segurança da Informação Auditoria Interna No Organograma Diretoria Geral Demais Gerências Diretoria de Tec. e Operações Demais Gerências Ger. Jurídico Ger. Controladoria Ger. Serv. de RH Ger. Desenv. Organizacio- nal Ger. de Tecnologia Riscos&SI Demais Gerências Diretoria de Finanças e Valor Diretoria de Cultura Organizacional Diretoria Executiva Resultados

29 28/AGO/2007 COMITÊ DE TECNOLOGIA ANJ Escopo de atuação da Ger. de Riscos e Segurança da Informação Gerenciamento do processo de Gestão de Riscos; –Desde a normatização até reporte ao comitê; Gerenciamento do processo de Gestão da Seg. da Informação; –Desde a normatização até a coordenação da implantação dos controles; Avaliar riscos em processos e controles (ex-auditoria interna); –Até 2009 com atuação bastante limitada; Participação consultiva nos grandes projetos; Controladoria não-financeira: –Definir padrões e processos para criação e divulgação de políticas e normas; –Definir padrões e processos para mapeamento de processos; –Coordenar atendimento a fiscais; –Homologação de perfis de acesso ao SAP;

30 28/AGO/2007 COMITÊ DE TECNOLOGIA ANJ Processo de Gestão de Riscos na Infoglobo

31 28/AGO/2007 COMITÊ DE TECNOLOGIA ANJ Risco = Possibilidade X Impacto

32 28/AGO/2007 COMITÊ DE TECNOLOGIA ANJ Matriz de Riscos da Infoglobo Riscos acompanhados pelo gestor e pelo Comitê de Riscos e Seg. da Informação Riscos acompanhados pelo gestor e pelo seu diretor Riscos acompanhados somente pelo gestor

33 28/AGO/2007 COMITÊ DE TECNOLOGIA ANJ Uma visão macro da área de Riscos e Segurança da Informação Check-up Tool Matriz de Riscos Rel. Gestores Dia-a-Dia Obrigações Regulatórias Plano de Continuidade Tratamento dos Riscos

34 CONFIDENCIAL FIM. Riscos e Segurança da Informação Carlos Henrique Safini dos Reis Tel.: (21)


Carregar ppt "CONFIDENCIAL Segurança da Informação e Gerenciamento de Riscos nas empresas jornalísticas Carlos Henrique Safini dos Reis Ger. de Riscos e Seg. da Informação."

Apresentações semelhantes


Anúncios Google