Governanзa de TI e Gestгo de Riscos

1
Governança de TI e Gestão de Riscos

• Contingência e
• Continuidade de Negócios

2
Currículo

• Economista, Pós Graduado em Segurança de Dados e
  Sistemas
• Formado pelo DRII em Contingência e Continuidade
• Membro do Grupo de Notáveis da Coordenadoria de
  Investigações de Crimes Eletrônicos do MP do RJ
• Profesor da Cadeira de Contingência e
  Continuidade de Negócios da UniRio e UFRJ (Núcleo
  de Computação Eletrônica)
• Escritor do único livro em língua portuguesa
  sobre o assunto
• Consultor e Palestrante com mais de 30 projetos
  de sucesso nos mais diversos segmentos
  organizacionais

3
Quem Acredita em Gerenciar Riscos ?
4
Como o Empresário Entende Continuidade
(Segurança) ?
Fernando, reconheço a importância, reconheço a
pertinência, mas a questão de Continuidade de
Negócios não é prioridade para as empresas no
Brasil. Elas se preocupam com faturamento,
participação no mercado, insolvência e
rentabilidade. Seu negócio é ideal para a
realidade de países como a Inglaterra ou Itália.
Países que dão valor ao tempo e sofrem de ameaças
mais sérias que greves. Ruy Gress, presidente
do IQB - Indústria Farmacêutica
5
Características de Eventos no Brasil
Abaixo de
Pesquisa publicada na Computerworld de 19/11/2003
6
Governança
Antes de entendermos o que é Governança de TI,
devemos tratar da questão mais ampla da
Governança Corporativa nas empresas. Este tema
tornou-se um tema dominante nos negócios devido a
safra de escândalos corporativos em meados de
2002 Enron, Worldcom e Tyco, para citar apenas
algumas. O interesse na governança corporativa
não é novo, mas a gravidade dos impactos
financeiros das fraudes executadas pelas empresas
já citadas, abalou a confiança dos investidores.
A crise de confiança do setor corporativo
contribuiu para a pressão descendente nos preços
das ações, estimulando assim as empresas a
tomarem uma atitude para contornar esta
situação. Discurso de Posse do Presidente de uma
Grande Empresa de Telecom
7
Dever Pertinência Importância

• ISO 17799
• Basiléia 2
• ITIL
• COBIT
• Sarbannes-Oxley
• SUSEP
• BaCen
• CVM
• ANATEL
• Requisitos de Negócio

8
Pertinência Importância Medo
Pesquisa feita pela KPMG com 250 empresas
brasileiras publicada em 04/02/04.
9
Medo de Que ?
10
Qual a maior Motivação ?
Pesquisa publicada na Computerworld de 19/11/2003
11
(No Transcript)
12
Objetos da Governança
Ativos humanos pessoas, habilidades, planos de
carreira, treinamento, relatório, mentoring,
competências etc. Ativos financeiros dinheiro,
investimentos, passivo, fluxo de caixa, contas a
receber etc. Ativos físicos prédios, fábricas,
equipamentos, manutenção, segurança, utilização
etc. Ativos de PI (Propriedade Intelectual)
incluindo o know-how de produtos, serviços e
processos devidamente patenteados, registrandos
ou embutido nas pessoas e nos sistemas da
empresa. Ativos de informação e TI dados
digitalizados, informações e conhecimentos sobre
clientes, desempenho de processos, finanças,
sistemas de informação e assim por diante.
Ativos de relacionamento relacionamentos dentro
da empresa, bem como relacionamentos, marca e
reputação junto a clientes, fornecedores,
unidades de negócio, órgãos reguladores,
concorrentes, revendas autorizadas etc.
13
Mecanismos da Governança

• Controle e Monitoramento de Ativos
• Apoio e suporte da Alta Direção
• Definição do papel e utilização dos Ativos de
  TI
• Transparência
• Suporte
• Controle
• Processos
• Procedimentos
• Métricas

14
Objetivos de Proteção
Ativos humanos Realizam processos e detêm
relacionamentos Ativos financeiros Justificam as
ações da Organização Ativos físicos Abrigam a
Organização Ativos de PI (Propriedade
Intelectual) Valores Intangíveis da
Organização Ativos de informação e TI Viabilizam
processos, através da redução de custos e aumento
da produtividade, refletindo resultados obtidos.
Controle. Ativos de relacionamento Intermedia
comunicações internas e externas identifica a
marca e reputação junto a clientes, fornecedores,
unidades de negócio, órgãos reguladores,
concorrentes, revendas autorizadas etc.
15
Porquê Governança ?

• Porque suas ações e seus requisitos de
  transparência podem preservar (minimizar) a
  responsabilidade legal dos administradores, que
  na prática não conseguem responder pelas ações da
  maioria dos funcionários da Organização

16
Como Definir nosso Risco ?
17
Padronizando Conceitos Evento Fato de origem
voluntária ou não que apresenta risco de dano.
Também denominado Fator de Risco
Fonte Disaster Recovery Journal
18
Padronizando Conceitos Risco é a medida para um
fator de incerteza
Avaliação considera a pior situação, no pior
momento, no cenário mais pessimista Cenário
consistente com a realidade da Organização Control
e deveria ser proativo, preditivo e corretivo
19
Padronizando Conceitos Dano Conseqüência nociva
acarretada por um Evento. Impacto de resultado
prejudicial. Justifica a Contingência.
Causas de Danos a Sistemas de Informação Fonte
Adaptado de Forcht, K.A., Computer Security
Management, p. 66
20
Padronizando Conceitos BIA (Business Impact
Analysis) é a Análise de Impacto nos Negócios,
acarretada pela indisponibilidade de um Processo
(atividade) ou Componente (recurso por ele
utilizado)

• Oferece uma métrica para a criticidade
• Avalia igualmente Processos ou Componentes
• Apresenta variáveis de custos tangíveis, custos
  intangíveis e períodos de tempo
• Identifica recursos mínimos necessários
• Seu resultado evidencia a importância das
  variáveis em função de perdas e prazos de
  tolerância à interrupções

21
Padronizando Conceitos Disaster Recovery Plan
(DRP) Plano de Recuperação de Desastres. É a
documentação das atividades necessárias para
restauração ou substituição dos recursos
(Componentes) utilizados pelos Processos de
Negócios

• Indica responsabilidades
• Orienta funções
• Define locais
• Indica o RTO (Recovery Time Objectives)
  Objetivos de Prazos para Recuperação
• Indica o RPO (Recovery Point Objective)
  Objetivos de Pontos de Recuperação

22
Como Funciona ?
Um Plano de Recuperação de Desastres (PRD) visa a
reposição/restauração de um dos Componentes que
suportam os PNs (p.e a troca de um Servidor de
Rede).
23
Padronizando Conceitos Operational Contingency
Plan (OCP) Plano de Contingência Operacional.
Documenta procedimentos e atividades alternativas
para serviços de TI ou Processos de Negócios

• Monitora e controla Fatores de Risco
• Indica responsabilidades e/ou substitutos
• Indica onde será realizado
• Indica como será executado
• É orientado pelos resultados obtidos pelo BIA,
  especialmente no que tange às variáveis de tempo
  e custos

24
Como Funciona ?
O Plano de Contingência (PCO) permite a execução
do PN, mesmo que um Componente encontre-se indispo
nível (p.e. como trabalhar sem telefonia ?).
25
Padronizando Conceitos Business Continuity Plan
(BCP) Plano de Continuidade de Negócios. É o
conjunto de procedimentos documentados pelo PRD e
pelo PCO, monitorado por um Plano de
Gerenciamento de Crises (PRD) que facilita sua
gestão e atualização.

• Orienta resposta aos Impactos mais prováveis
• Considera os principais (críticos) processos da
  organização
• Consolida responsabilidades, locais e prazos
• Indica parâmetros de RTO e RPO, evidenciados pelo
  BIA
• Evidencia elementos para auditoria e atendimento
  de requistos legais ou normativos

26
Como Funciona ?
PGC
Um PCN traça um plano aonde o PCO e o PRD são
executados simultaneamente, garantindo a
continuidade do PN e a reposição/restauração do
Componente paralelamente
27
O quê é um PCN ?(resposta da Prova !)

• Metodologia que desenvolve estratégias
  alternativas para execução de processos1 ou
  sistemas2, minimizando os possíveis impactos
  acarretados pela sua interrupção, imposta por
  qualquer tipo de evento e que pode acarretar
  algum tipo de perda, financeira ou não.
• 1 PCN com foco para Continuidade dos Negócios
• 2 PCN com foco em Componentes de Tecnologia de
  Informação

28
As Dificuldades são as Mesmas em Qualquer Lugar !
29
Riscos x Impactos

• Fatores de Risco são aleatórios e imprevisíveis,
  comparando-se ao efeito de uma onda, cuja
  intensidade e dano estarão vinculados ao cenário
  de ocorrência quando se concretiza

30
Riscos x Impactos

• Impactos são previsíveis, de acordo com o
  conhecimento do ambiente onde se manifestam e
  vinculados aos Eventos que se concretizaram,
  podendo ser contidos através de medidas de
  mitigação, independente do cenário

31
LEMBRETE
Erros tendem a se repetir
32
Como Definir nosso Risco ?

• Risco ƒ S Vulnerabilidades
• S Impactos

33
Como Definir nosso Risco ?

• Risco ƒ LinkPessoasHWTelefonia ?
• Parada de Processos ou Serviços

34
Como Definir nossa Estratégia ?

• Disponibilidade ƒ S Tolerância à Parada
• S Tempo de Recuperação

35
Como Definir nossa Estratégia ?

• Disponibilidade ƒ 2 horas
• 6 horas

36
DICA
É fácil fazer difícil. Difícil é fazer fácil !
37
Como Funciona ?
38
Como Funciona ?
39
Padrão de Segurança

• BS 77992002 - Reino Unido
• NBR ISO/IEC 177992000 - Brasil/Internacional
• Definem um conjunto de boas práticas de gestão da
  segurança
• Servem de base às políticas de segurança
• Seus controles permitem a auditoria de segurança
  de informações

40
SOX Act 2002

• NÃO possui requisitos de Segurança, MAS exige
• Empresas possuam uma Política de Segurança
  abrangente
• Empresas definam sua classificação de segurança
  de Dados
• Empresas identifiquem seus Riscos e respectivos
  Impactos nos Negócios
• Empresas possuam procedimentos e padrões formais
  de Segurança
• Empresas possuam documentos que formalizem suas
  bases de segurança, auditoria e testes
  atualizados
• Empresas possuam uma definição clara de
  reponsabilidades
• Empresas possuam políticas e procedimentos
  definidos para o Gerenciamento de Mudanças,
  Suporte, Requisitos de Serviços, bem como para
  mudanças de Aplicativos, Políticas e
  Procedimentos

41
Normas Circulares (BR)

• Baseadas em Referências já consolidadas
  (ITIL/COBIT/ISO/BS) ou Regulatórias (SarbOx)
• Exigem transparência
• Exigem mapeamento de riscos
• Exigem disponibilidade
• Exigem integridade
• Exigem confidencialidade

Visão de Segurança
42
PCN

• Atende BS 7799, ISO 17799, CobiT, ITIL, MOF,
  BACEN, SUSEP
• Não faz parte do SOX. Mas o resultado do BIA
  atende a vários itens da Seção 404
• Deve garantir a continuidade dos negócios (com
  base na operação de TI) em caso de incidentes ou
  mesmo desastres totais
• Será usado em caso de problemas deve ser
  simples, fácil de entender e deve estar
  disponível às pessoas certas na hora certa
• É um compromisso entre o nível de garantia de
  continuidade e uso de recursos (pessoas,
  equipamentos, serviços)

43
Tendências a Serem Consideradas

• Crescimento de mercados (exigindo aumento na
  dependência de TI)
• Aumento na utilização de redes
• Ampliação das bandas
• Processamento e conectividade transformando-se em
  commodities (no prazo de 5 anos)

Jonathan Schwartz COO da Sun
44
(No Transcript)
45
Tendências a Serem Consideradas

• Redução de CPD próprios
• Centralização de CPDs (terceirizados)
• A gestão de TI tornar-se cada vez mais a gestão
  de Serviços
• O maior obstáculo para a comoditização do
  processamento de informação não é tecnológico. É
  cultural

Nick Carr Jornalista e Escritor
46
(No Transcript)
47
Tendências a Serem Consideradas

• Continuidade como exigência legal
• Alta disponibilidade como requisito de negócio
• Continuidade agregando valor ao produto/serviço
• Responsabilização pessoal dos aspectos legais das
  empresas
• Terceirização dos serviços de TI (Virtualização)

48
Inove !
49
Recomendações Finais

• Não basta explicitar É preciso divulgar
• Não basta divulgar
• É preciso praticar
• Objetivo viável
• É a média entre o que se quer com o que se pode

50
International Association of Emergency Managers
www.IAEM.com
Non-US individual Membership US 50
Student Membership US 25
51
Lembrete 1
...se existirem duas ou mais formas de fazer uma
tarefa, e uma delas puder provocar um desastre,
alguém irá adotá-la... Edward Murphy Jr.
(1918-1990)
52
Lembrete 2
É mais barato criar uma solução para
Continuidade de Negócios do que reduzir seus
riscos a zero. Fernando Marinho (1964-)
53
contato_at_fernandomarinho.com.br www.planodecontinui
dade.com.br (21) 8154-9940
Dúvidas