Carlos Henrique Safini dos Reis Ger. de Riscos e Seg. da Informação Segurança da Informação e Gerenciamento de Riscos nas empresas jornalísticas "A alta dependência de sistemas informatizados, as mudanças no código civil, a informatização dos órgãos de fiscalização do governo e a criação de parcerias que levam a operação da empresa a integrar-se com seus concorrentes são algumas das razões que transformaram a Gestão de Riscos em assunto constante nas reuniões de diretoria. Apresentaremos um resumo de como a Infoglobo está tratando este tema." XXIV Congresso do Comitê de Tecnologia ANJ Rio de Janeiro - 26, 27 e 28 de agosto de 2007 Carlos Henrique Safini dos Reis Ger. de Riscos e Seg. da Informação

Infoglobo? Principais Produtos: Jornal O Globo Jornal Extra Jornal Expresso Jornal Diário de São Paulo O Globo Online Agência O Globo Valor (parceria) ZAP (parceria) 5 grandes instalações, 2 parques gráficos, 3000 pessoas

Nosso Contexto História de sucesso de mais de 80 anos; Segmento pouco regulamentado mas muito fiscalizado; Sem base de dados histórica sobre perdas para analisar; Empresa de capital fechado; Segmento em fase de grande transformação; Novos concorrentes “de peso” oriundos de outros segmentos.

Gestão de Riscos..... humn... Entendendo a motivação

Brasileiros vs. Atitude Preventiva Guerra Faltam motivadores externos para criar os hábitos e estabelecer a cultura de prevenção. Desastres Naturais Criminalidade O cenário está mudando em função do crescimento da criminalidade, da violência urbana, dos impactos cruzados da economia globalizada e das alterações climáticas Terrorismo

Mudanças Climáticas Tornado em Indaiatuba “Os prejuízos foram estimados pela prefeitura em R$ 90 milhões para os empresários que tiveram suas indústrias atingidas, R$ 1,5 milhão para os moradores e R$ 6 milhões para a administração pública.” “Pelo menos 30 empresas estavam na rota do tornado e seis desabaram. Nesta tarde, a energia elétrica foi restabelecida em 99% da cidade. Apenas alguns pontos ainda estavam sem eletricidade.”

Crises Podem Atingir Grandes Proporções Uma crise pode acontecer no “pior” momento; Segundo estatísticas publicadas no Meta Research Report (11 de fevereiro de 2002), entidade especializada em gerenciamento de crises: 43% das empresas que sofreram um sinistro de  proporções catastróficas, não reabriram, sendo que 29% das empresas que reabriram, depois de 2 anos fecharam; Companhias que ficaram desprovidas do sistema de informática por mais de 10 dias não conseguiram mais recuperar seus dados; Crises são extremamente democráticas e politicamente corretas; podem acontecer a qualquer empresa.

Grandes Escândalos Financeiros Perda de Confiança nos “Números” Internacionais Enron; WorldCom; Royal Ahold; Etc. Nacionais; Banco Nacional; Banco Marka; Data Control;

Reações dos Reguladores SOX, PCAOB, Novo Cód. Civil, e-NF, etc. Complexidade do Regulatória Tempo

Valorização da Transparência e das Boas Práticas de Gestão

Para Atingir Objetivos Corporativos: Pessoas+Processos+Ferramentas Executam os Processos e usam as Ferramentas Para atingir os Objetivos > Ferramentas: São manipuladas pelas Pessoas, seguindo os Processos para atingir os Objetivos Processos: Descrevem como as Pessoas irão usar as Ferramentas para atingir os Objetivos

Ferramentas informatizadas Complexidade Crescente 100% Dependência Tecnológica Tempo

Estatísticas Sobre Incidentes de Segurança da Informação no Brasil

Sapphire Worm ou “Slammer” (2003) Infecções dobradas a cada 8.5 segundos Infectados 75.000 computadores nos primeiros 11 minutos Interrupções na internet, cancelamento de vôos e falhas em ATMs minutos após liberado No pico, foram varridos 55 milhões de computadores por segundo 11 8 6 CONFIDENCIAL 2 14

Então, surgem as perguntas importantes... Que objetivos assumidos junto aos acionistas correm o risco de não serem cumpridos? Corremos riscos de receber multas? De que valores? O que poderia afetar a imagem das nossas marcas? Existe o risco da produção parar ou atrasar? Os nossos segredos estão protegidos? A auditoria externa pode encontrar algum problema importante? Como estamos em relação às empresas semelhantes à nossa?

... E Também a Necessidade de Ajustar a Percepção dos Executivos PERIGO IDEAL Conscientização Análise e SUFICIENTE Implantação do Processo de Gestão de Riscos&SI SEGURANÇA PERCEBIDA Orientação aos Responsáveis pelo Tratamento dos Riscos INSUFICIENTE GASTOS DESNECESSÁRIOS DESCONFORTO INADEQUADO ADEQUADO SEGURANÇA REAL

Gestão de Riscos e Segurança da Informação

Qual é a origem dos riscos? GERENCIAMENTO DE RISCOS Pessoas Displicência/negligência na execução de atividades; Desconhecimento/falta de treinamento para a execução de atividades; Manipulação para cometer fraudes; Processos Processo mal definido; Falta de controles; Falta de segregação de funções; Infra-Estrutura Falha em sistema (hardware ou software); Falha na infra-estrutura de serviços básicos (telecomunicações, energia, água, gás, etc.); Agentes/Eventos Externos Imposição de mudanças regulatórias (IVC, trabalhista, federal, estadual, municipal, etc.) Desempenho inadequado de prestadores de serviços; Fraudes de clientes, fornecedores ou outros agentes externos; Acões jurídicas contra a Infoglobo (ações cíveis, descumprimento de obrigações contratuais, CADE, etc.)

Definição do COSO para ERM (Enterprise Risk Management) “… um processo, executado pela diretoria, gerência e demais profissionais, aplicado na definição das estratégias e na operação do negócio, desenhado para identificar os potenciais eventos que podem afetar a empresa, e que gerencie os riscos dentro do apetite corporativo, para prover uma razoável certeza do atingimento dos objetivos da entidade." "...a process, effected by an entity's board of directors, management and other personnel, applied in strategy setting and across the enterprise, designed to identify potential events that may affect the entity, and manage risks to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives.” Source: COSO Enterprise Risk Management – Integrated Framework. 2004. COSO.

Fator Crítico de Sucesso: A Atitude! ANTECIPAÇÃO REAÇÃO NOVA GOVERNANÇA

Fator Crítico de Sucesso: Equilibrar Risco e Recompensa Chance de maiores ganhos ou maiores perdas Ganhos e perdas menores e mais previsíveis Mais controles Mais flexibilidade Valor sustentado e segurança Conformidade Baseado em slide da KPMG LLP (U.S.), 2004

Fator Crítico de Sucesso: Balancear os Investimentos Infra-estrutura Risco Gerenciado Risco Inerente Conscientização e Treinamento Regras e Processos

Dois Temas com Focos Complementares GESTÃO DE RISCOS GESTÃO DA SEGURANÇA DA INFORMAÇÃO

Como a Segurança da Informação pode contribuir para a redução de riscos? ISO 17799:2005 CONFIDENCIALIDADE INTEGRIDADE DISPONIBILIDADE Garantindo que o acesso à informação seja obtido somente por pessoas autorizadas. Garantindo a integridade da informação e dos sistemas de processamento. Garantindo que os usuários autorizados tenham acesso à informação e aos sistemas sempre que necessário. AUTENTICIDADE C onfidencialidade I ntegridade D isponibilidade A utenticidade Ou seja, mantendo a CIDA! Garantindo que o destinatário possa verificar a autoria e/ou a origem de uma informação.

Padrões de Mercado como Base COSO e ISO17799 Riscos em Comum: Infra-estrutura Segurança Física Sistemas de TI Conformidade Legal Back-Ups Certificados Digitais etc. = Segurança da Informação (Integridade, Confidencialidade e Disponibilidade) Copyright© COSO

Avaliar Riscos e Controles Foco nos riscos dos objetivos estratégicos; Foco na efetividade e eficiência das operações; Foco na confiabilidade dos demonstrativos financeiros; Foco na conformidade com as leis e regulamentos aplicáveis. Automáticos Manuais Detectivos Preventivos

Consolidar a Gestão de Riscos 5ª etapa 4ª etapa Integrar 3ª etapa 2ª etapa 1ª etapa Aplicar Especializar Conscientizar Iniciar Proposta Proposta Proposta Proposta Proposta Melhoria pontual do ambiente de controles internos Aculturamento dos executivos Formalização de normas e processos Melhoria ampla do ambiente de controles internos Definição da arquitetura de gestão de riscos (política, estrutura, processos e etc) Descentralização da gestão de riscos e controles Incorporação da gestão de riscos nas atividades diárias Priorização corporativa da administração dos riscos Métodos específicos de quantificação de riscos Gestão dos Riscos integrada à Gestão do Negócio

No Organograma Receitas superam o orçamento em 1,4%. Noticiário (7%) Comitê de Riscos e Segurança da Informação Diretoria Geral Riscos&SI Auditoria Interna Diretoria Executiva Resultados Diretoria de Cultura Organizacional Diretoria de Tec. e Operações Diretoria de Finanças e Valor Demais Gerências Demais Gerências Demais Gerências Demais Gerências Receitas superam o orçamento em 1,4%. Noticiário (7%) Projetos especiais (15%) Revista (221%) Permuta (12%) Problemas em classificados, VA O Globo, e outras receitas Despesas superam orçamento por: Maior custo de produto (volume de papel e revista) Maior custo de vendas (investimento em ED) Despesas de administração e marketing ficam abaixo do orçado, ajudados pelos ganhos na linha de contingências. Ger. Serv. de RH Ger. de Tecnologia Ger. Jurídico Ger. Desenv. Organizacio-nal Ger. Controladoria

Escopo de atuação da Ger. de Riscos e Segurança da Informação Gerenciamento do processo de Gestão de Riscos; Desde a normatização até reporte ao comitê; Gerenciamento do processo de Gestão da Seg. da Informação; Desde a normatização até a coordenação da implantação dos controles; Avaliar riscos em processos e controles (ex-auditoria interna); Até 2009 com atuação bastante limitada; Participação consultiva nos grandes projetos; Controladoria não-financeira: Definir padrões e processos para criação e divulgação de políticas e normas; Definir padrões e processos para mapeamento de processos; Coordenar atendimento a fiscais; Homologação de perfis de acesso ao SAP;

Processo de Gestão de Riscos na Infoglobo

Risco = Possibilidade X Impacto

Matriz de Riscos da Infoglobo Riscos acompanhados pelo gestor e pelo Comitê de Riscos e Seg. da Informação Riscos acompanhados pelo gestor e pelo seu diretor Riscos acompanhados somente pelo gestor

Uma visão macro da área de Riscos e Segurança da Informação Rel. Gestores Matriz de Riscos Dia-a-Dia Tratamento dos Riscos Check-up Tool Obrigações Regulatórias Plano de Continuidade

FIM. Riscos e Segurança da Informação Carlos Henrique Safini dos Reis Email: carlos.safini@infoglobo.com.br Tel.: (21) 2534-5858 Fazer revisão do email.