O documento discute governança de riscos e apresenta a empresa DARYUS, especializada em consultoria de gestão de riscos e continuidade de negócios. A DARYUS oferece cursos e eventos sobre tópicos como governança corporativa, gestão de riscos, segurança da informação e conformidade. O documento também aborda a importância da gestão de riscos para as organizações e como preparar a resiliência empresarial diante de possíveis incidentes.

1. Governança de riscos
- Governança, Riscos e Conformidade
JefersonD’Addario, CBCP, CRISC, MBCI
Business Continuity & Security Senior Practices Leader
Sócio-Diretor
São Paulo, 05 de Outubro 2011
jeferson@daryus.com.br www.daryus.com.br
www.twitter.com/jefebrasil www.twitter.com/daryusbr

2. JefersonD’Addario
CBCP pelo DRII-USA,
MBCI pelo BCI-UK,
CRISC pela ISACA
ISO 27001 Lead Auditor pelo BSI-UK,
CobitFoundationCertified pela ISACA,
ITIL e ISFS pelo EXIN
Sócio-fundador DARYUS, Consultor Sênior em Continuidade de Negócios eSegInfo.
Formação em Economia e TI. Mais de 16 anos e 34 projetos no Brasil e Exterior para
empresas como: CVG Edelca Venezuela, Johnson & Johnson companies, Novartis, Sandoz,
CAGECE, 3 Coracoes, Grupo Votorantim, PDVSA, HSBC, Vale, Bovespa, Banco Mercantil do
Brasil, Grupo Accor – Ticket, Comgás, GRSA, MBR, Grupo Ultra, Petrobrás, Liquigás,
Gerdau, Natura Banco BGN S/A, GVT, SAMARCO Mineração, FISEPE entre outros.
Ganhador do Prêmio SECMASTER 2006 na categoria de Melhor Contribuição para o
Desenvolvimento de Mercado. Responsável por trazer o DRII para o Brasil.
Coordenador e professor do curso de GTSI – Gestão e Tecnologia em Segurança da
Informação da FIT – Faculdade Impacta Tecnologia – SP-SP.
Atuoutambémcomodocente de cursos de pós-graduaçãopara a FATEC-SP e IPEN – Instituto
de PesquisasNucleares – USP – SP.
Restritoao GRM. © Copyright 2011. DARYUS – São Paulo – Brasil. | www.globalriskmeeting.com.br | +55 11 3285-6539

3. Quem somos?
• Fundada em 2005
•Empresa 100% nacional
• Unidades de Negócios: Consultoria e Educação
• Consultoria: Referência em Continuidade de Negócios, Segurança da
Informação e Gestão de Riscos
• Educação: Parceria exclusiva com DRII desde 2005, parceira oficial do EXIN
e da ISACA, possui desde cursos de especialização até pós-graduações.
• Eventos renomados e exclusivos.

4. Educação
-Cursos Acadêmicos em parceria com a Faculdade Impacta
- Pós em Gestão de Segurança da Informação (380 hs)
- Pós em Governança de TI (380 hs)
- Pós em Investig. Fraudes e Forense Computacional (120hs)
-Cursos de Especialização (venda direta e por parceiros)
- Business Continuity – DRII e DARYUS
-DisasterRecoveryPlan - DARYUS
- Analista de Segurança da Informação (SecurityOfficer)
- ITIL, ISO 27002 foundation, ISO 20000 - EXIN
-Cobit - ISACA
- CISA, CISM – ISACA
-Cursos de Riscos Financeiros e Conformidade
- Controles Internos
-Controles Contábeis
- Gestão de Conformidade
- Gestão de Riscos
- Prevenção a Fraude
- Prevenção a Lavagem de Dinheiro

5. www.daryuseducation.com.br
EspecializaçõesePós-Graduações
CBCP
CFCP
ABCP
ISMES
MBCP
ISMAS
CBCA
ISFS

6. Algunsclientes
Restritoao GRM. © Copyright 2011. DARYUS – São Paulo – Brasil. | www.globalriskmeeting.com.br | +55 11 3285-6539

7. Gartner Executive Summary 2010
Necessitam de gestão de riscos contínua e planejamento de continuidade de negócios

8. Como um evento pode mudar tanto o
mundo em apenas 102 minutos?
- Mais de 3000 mortos
- Prejuízos de bilhões de dólares (43biU$)
- Re-estudo completo da Gestão de Riscos
Mudança de paradigma na gestão de riscos
Copyright © 2007. DARYUS® Strategic Risk Consulting. BRASIL. July 2007 8
Restrito. www.daryus.com.br – Avenida Paulista, 1009 – 11o. Andar – cj 1102 - São Paulo – SP – +55 11 3285-6539

9. Estragos e mortes
- Rio de Janeiro entre os dias 5 e 6 de abril
- 182 mortos, mais de 100 feridos;
- O Serviço de Meteorologia do Rio registrou no período o maior índice
pluviométrico da cidade em mais de 40 anos: 288 mm.
9

10. Governança, RiscoseConformidade
- Inteligência de riscos, umatendênciamundial.
Governança
Corporativa e ISO 38500
de Cobit 4.1
TI
Continuidade BS 25999-1
de Segurança BS 25999-2 ISO 27001
Negócios da BS 25777-1 ISO 27002
Informação Cobit DS.4 ISO 27005
Cobit DS.5
Leis e Leis e
Regulamentações Regulamentações
Segurança, Saúde
e Meio Ambiente Responsabilidade ISO 14001
Social ISO 26001
OHSAS 18001
Sustentatibilidade Corporativa
Gestão de ISO 31000
Riscos

11. “Risk management is a multi-disciplinary field and
multi-
covers a large and overlapping range of business
areas.”
Fonte: BSI 2007. Business Continuity & Risk
Fonte:
“ A gestão de riscos é um campo multi-disciplinar e abrange uma
multi-
vasta gama e sobreposição de áreas de negócio. "
Tendência mundial
Copyright © 2007. DARYUS® Strategic Risk Consulting. BRASIL. July 2007
Restrito. www.daryus.com.br – Avenida Paulista, 1009 – 11o. Andar – cj 1102 - São Paulo – SP – +55 11 3285-6539

12. Como me organizar e preparar para que a Resiliencia seja efetiva?
Para que GRC – Governança, Riscos e Conformidade existam, o que é
necessário?

13. Equilíbrioéessencial!
Adaptado de BSC – Kaplan e Norton

14. Passosprincipais
1o. Entendimento do negócio
2o. Análise de RiscoseImpactos
3o. SelecionarEstratégias/Controles
4o. Resposta a incidentes
5o. Capacitareprepararequipes
6o. Testareexercitar

15. 1o. Entenderonegócio
Estratégicos
Business
BSC Riscos
Plan
Primários
Lavrar Beneficiar Vender Entregar
Secundários
TI Financeiro RH Juridico Vendas

16. 2o. RiscoseImpactos
Pessoas BIA = IMPACTOS
Processos
Quando?
TIC Quanto?
Financeiro,
Operacional,
Imagem,
Legal
Por que?
Alvo da Estratégia de Continuidade
(80/20)

17. Consciência + Regras = Resultados
Diretrizes Gerais de Continuidade:
1. Garantir a VIDA das pessoas;
2. MINIMIZAR os impactos e garantir a continuidade das funções críticas;
3. Proteger a IMAGEM da organização;
4. Gestão de Continuidade é uma disciplina/domínio de Gestão de Riscos
ESTRATÉGICOS
5. Uma POLÍTICA de GCN precisa ser estabelecida
6. Um processo CONTÍNUO precisa ser implementado e mantido na
organização

18. Estrutura da GCN

19. TCU vê problemas de segurança de informação em 65% dos
órgãos públicos.
Para se ter uma idéia, 97%
dos órgãos não têm o chamado
"plano de continuidade de negócios" --que são diretrizes que
devem ser seguidas em caso de haver uma pane no sistema que interrompa o
serviço.
Fonte: Folha de S. Paulo Set/2010
19

20. ”80% dos e-mails oumaissão spam.”
Segundo a Symantec

21. " A medidaque a tecnologiaevolui, seuenvolvimento com
elaémenor. Ela se torna parte dapaisagem ”
DemiGetschko, conselheiro do CGI Brasil

22. Prapensar!
Prapensar!
1o. O queserá a SI daquiprafrente?
2o. Qualopapel do Security Officer?
3o. TIC enãomais TI
4o. TICI enãomais TIC
5o. TICI comoserviço
6o. Funcionáriosdageração Y
6o. Fimdapadronizaçãoeuma nova regraparao End
Point Security

23. Security Officer antigo
1- Não entende de negócio
2- Não entende como faz parte do negócio
3- Técnico, geralmente vem de TI e introspectivo
4- Bloqueia tudo, sem entender o por quê
5- Muitas policies e pouca política
6- Dificuldade extrema de entender a gestão
necessária para a função
23

24. Security Officer novo
1- Entende de negócio
2- Entende como faz parte do negócio
3- Menos técnico, mais diplomático e negociador
4- Bloqueia o necessário, após entender o por quê
5- Política simples, clara e objetiva
6- Aplica a gestão necessária envolvendo pessoas,
processos e tecnologia
24

25. RECEITA?
Justificativa
LEIS OU CUSTO?
REGULAMENTOS?

26. 1. Segurança da Informação NÃO DEVE ser assunto
somente das empresas e na relação profissional;
2. Leve para casa! É responsabilidade da FAMÍLIA!
FAMÍLIA
3. As campanhas de divulgação de PSI das empresas
podem abranger recomendações para a vida pessoal
dos funcionários
4. Crie comunidades de discussão entre os funcionários
5. Crie material na Intranet com orientações mínimas de
segurança e riscos da Internet para a vida pessoal dos
pess
funcionários.

27. 6. Você realmente está monitorando o que você faz na
Internet? seu filho? Sua família?
7. A maioria das brigas de torcidas uniformizadas
acontecem com arranjos via Internet. Muitos dos
envolvidos fazem isso de dentro do ambiente de
trabalho.
8. Socialize a segurança da Informação. É informação e
Informação
não tecnologia da Informação
9. Use as redes sociais para monitoramento de apoio
10. Monitore equipes críticas de TIC e Desenvolvimento de
Sistemas.

28. Muito grato!
jeferson@daryus.com.br | www.twitter.com/jefebrasil
www.daryus.com.br | www.twitter.com/daryusbr
11 3285-6539
Av. Paulista, 1009 – 11º. andar – 01311-000 – SP/SP