SlideShare uma empresa Scribd logo

Gestão de serviços de TI

Andracom Solutions
Andracom Solutions

É executado análises de riscos, durante e depois do processo de tercerização e definidos como um rigoroso critério de avaliação.

Tecnologia
1 de 30
Gestão de Serviço de TI
Gestão de Serviços Benefícios da Gestão de Serviços •  Atualização constante das plataformas, revisão e interpretação de eventos buscando a melhoria contínua; •  Recomendações Técnicas e de Infra-Estrutura visando melhor desempenho da rede; •  Melhores práticas em Segurança da Informação (ISO e ABNT); •  Economia de até 58% nos custos de gerenciamento de segurança de informação; •  Protege continuamente os seus negócios, dados da empresa e a reputação; •  Evita ataques e danos antes que eles prejudiquem e interrompam as operações do seu negócio;
Gestão de Serviços •  Projetado para melhorar o tempo de produtividade e o desempenho do sistema sem um alto investimento em tecnologia e recursos. •  Relatórios de Gestão Mensais, com indicadores e informações detalhadas trazendo visibilidade e controle da segurança; •  Topologia e implementação das políticas e configurações do ambiente monitorado; •  Análise e busca constante das vulnerabilidades; •  SLA (Acordo de Nível de Serviço) definido em detalhes para cada serviço executado; •  ROI (Retorno de Investimento); •  Apresentação Anual dos Serviços Prestados.
Gestão de Serviços Governança, Risco, Conformidade e Cultura (GRC-C) Governança   Conformidade   Definir  e  avaliar  obje.vos,  metas  e  performances   Incen.va/exige  o  cumprimento   Validar  a  estratégia  de  negócio  e  o  modelo  para   das  normas,  leis  e  polí.cas   alcançar  os  obje.vos   existentes     Detecta  a  não-­‐conformidade  e   responde  em  conformidade   Risco   Cultura   Estabelece  clima  organizacional  e   Iden.fica,  avalia  e  trata  os  potenciais   valores  pessoais  que  promovem   obstáculos  para  se  alcançar  os  obje.vos   confiança,  integridade  e   Iden.fica  e  trata  violações  mandatórias  ou   rastreabilidade.   voluntárias  de  limites  
Evolução da Abordagem GRC Governar  e  Gerenciar   • Automa.zar  controles  e  monitoramento     • Intersecção  entre  múl.plos  regulamentos  legais   de • Decisões  baseadas  em  Risco   rida • Inves.mento  em  Conformidade  com  padrões  de   Matu Governança   • Abordagem  integrada  à  GRC   Reduzir  Custo   • Associar  controle  à  múl.plos  regulamentos   legais     • O.mizar  controles   • Associar  controles  e  risco   • Associar  custo  de  projeto  e  correções   011 Estar  em  Conformidade   8 .. . 2 200 • Foco  somente  em  leis   ... 3 200 • Muitos  controles   • Esforço  manual   As  Is   • Controle  manual   Fonte:  Computer  Associates  
Meta-Framework Pessoas, Processos, Tecnologia e Estratégias As organizações estão optando cada vez mais pelas boas práticas de Governança Corporativa. Um aspecto significativo é a inclusão da segurança da informação como parte do risco operacional. Nossa   s olução:   E P75   -­‐   S oAware   p ara   d iagnósFco   e   a valiação   d o   n ível   d e   m aturidade   d a   s egurança   da   i nformação.   Mapeia  a  situação  atual  da  organização  (nível   1 de  maturidade);       Compara  com  a  situação  das  melhores   2 organizações  (benchmarking);     Estabelece  e  monitora  passo  a  passo  as   3 melhorias  dos  processos  rumo  à  estratégia  da   organização  (plano  de  crescimento);     Compara  com  regulamentações  e  padrões   4 internacionais  (auditoria).  
PDCA do GRC Governança GRC Framework
Governança Governança Corporativa   É   um   conjunto   de   responsabilidades   e   prá.cas,   exercido   pelo   Comitê   Dire.vo   ou   Execu.vo,   com  o  obje.vo  e:   •  Prover  direcionamento  estratégico;   •  Garan.r  que  os  objeFvos  são  alcançados;   •  Verificar  que  os  recursos  corporaFvos  são  u.lizados  de  forma  responsável  e   transparente;   Fonte:  Adaptação  do  CoBiT  
PDCA do GRC Risco GRC Framework
Risco Risco, é a medida para um fator de incerteza Falha de Hardware Falha na Transmissão Falha Humana Desastre Natural Incerto 3% Falha de Software 9% 30% 11% 24% 23% Evento: Fato de origem voluntária ou não que apresenta risco de dano. Também denominado "Fator de Risco"
Risco Dano:  Conseqüência  nociva  acarretada  por  um  Evento.     Impacto  de  resultado  prejudicial.  Jus.fica  a  Con.ngência.   Avaliação:  considera  a  pior  situação,  no  pior   momento,  no  cenário  mais  pessimista     Cenário:  consistente  com  a  realidade  da  Organização     Controle:  deveria  ser  proa.vo,  predi.vo  e  corre.vo  
Risco Risco x Impacto Fatores de Risco são aleatórios e imprevisíveis, comparando-se ao efeito de uma onda, cuja intensidade e dano estarão vinculados ao cenário de ocorrência quando se concretiza; Impactos são previsíveis, de acordo com o conhecimento do ambiente onde se manifestam e vinculados aos Eventos que se concretizaram, podendo ser contidos através de medidas de mitigação, independente do cenário;
Risco Conceitos —  BIA (Business Impact Analysis): é a Análise de Impacto nos Negócios, acarretada pela indisponibilidade de um Processo (atividade) ou Componente (recurso por ele utilizado); —  Disaster Recovery Plan (DRP): Plano de Recuperação de Desastres. É a documentação das atividades necessárias para restauração ou substituição dos recursos (Componentes) utilizados pelos Processos de Negócios; —  Business Continuity Plan (BCP): Plano de Continuidade de Negócios. É o conjunto de procedimentos documentados pelo DRP e pelo Plano de Continuidade de Operações, monitorado por um Plano de Gerenciamento de Crises (PRD) que facilita sua gestão e atualização.
PDCA do GRC Plano de Continuidade GRC Framework
Plano de Continuidade do Negócio Plano de Recuperação de Desastres Plano de Contingência Operacional Plano de Continuidade de Negócio = PRD+PCO
PDCA do GRC Conformidade GRC Framework
Conformidade O mundo de Leis, Regulamentos, Normas e Normalidades Companies ACT PIPEDA DPA BDSG KonTraG RIP Basel II IAS Sarbanes-Oxley HIPAA LOPD EUPD CA SB 1398 Japan Privacy OSHA CA AB 1950 SOX, FICS, Basel II NERC CA SB 1386 FERC Reg. 357 Homeland Security BACEN Basiléia II Ato Bancario CVM ISO CLERP 9 Lei 3494/2000 AS4360 Lei 321/2004 PA&PAA Lei de Proteção dos King II RPT Dados Pessoais Nov/2000
Conformidade O Brasil de Leis, Decretos, Portarias, Resoluções... Código Civil Código Penal Instituições Financeiras e outras ü  Banco Central (3380, 2817, 2554, ...), ü  Susep 249..., CGPC 13 ü  Basiléia II ü  PCI/DSS, BITS, PQO/BM&F, Anbid ü  ISO (ABNT) Mercado de Capitais ü  CVM (358, ...) Governo ü  Decretos 4553, 3505, ü  TCU Receita e Fazenda ü  Receita Federal, Nota Fiscal Eletrônica Saúde ü  Hippa, Resoluções CFM
Conformidade A Avaliação da Conformidade é um exame sistemático do grau de atendimento por parte de um produto, processo ou serviço a requisitos especificados. Fonte:  ABNT  
Conformidade Aplicação da Conformidade A Avaliação da Conformidade pode ser aplicada voluntária ou compulsoriamente. —  Voluntária: quando partes de uma decisão de um fornecedor ou mais; —  Compulsória: quando um organismo regulamentador emite um instrumento legal, e se destina, prioritariamente, à defesa do consumidor, instituição, investidores ou a sociedade em geral. Fonte:  ABNT  
Conformidade Mecanismo de Avaliação A Avaliação da Conformidade possui diferentes mecanismos para verificar a conformidade de um produto, processo ou serviço em relação aos critérios estabelecidos por normas e regulamentos técnicos. Os praticados no Brasil são os seguintes: —  certificação; —  declaração da conformidade pelo fornecedor; —  inspeção; —  ensaio; —  etiquetagem. Fonte:  ABNT  
Conformidade Controle de acesso dos usuários —  Registro do usuário: ID única para cada usuário. —  Gerenciamento de privilégios: aqui entra o controle de acesso baseado em papéis. —  Gerenciamento de senhas: administração segura de senhas. Controle de Acesso às Aplicações —  Registro de Eventos: Trilha de auditoria registrando exceções e outros eventos de segurança devem ser armazenados por um tempo adequado. —  Monitoração do Uso do Sistema: Os procedimentos do monitoração do uso do sistema devem ser estabelecidos. —  Sincronização dos Relógios: Para garantir a exatidão dos registros de auditoria. Fonte:  ABNT  
PDCA do GRC Cultura GRC Framework
Cultura Engenharia Social ou Cultura Compreende a inaptidão dos indivíduos manterem-se atualizados com diversas questões pertinentes a tecnologia da informação, além de não estarem conscientes do valor da informação que eles possuem e, portanto, não terem preocupação em proteger essa informação conscientemente. É importante salientar que, a engenharia social (Cultura) é aplicada em diversos setores da segurança da informação independente de sistemas computacionais, software e ou plataforma utilizada, o elemento mais vulnerável de qualquer sistema de segurança da informação é o ser humano, o qual possui traços comportamentais e psicológicos que o torna suscetível a ataques de engenharia social.
Cultura Engenharia Social •  Estabelece  clima  organizacional  e  valores  pessoais  que  promovem  confiança,   integridade  e  rastreabilidade;   •  Engenharia social compreende a inaptidão dos indivíduos manterem-se atualizados com diversas questões pertinentes a tecnologia da informação; •  Além de não estarem conscientes do valor da informação que eles possuem e, portanto, não terem preocupação em proteger essa informação conscientemente; •  É importante salientar que, a engenharia social é aplicada em diversos setores da segurança da informação independente de sistemas computacionais, software e ou plataforma utilizada, o elemento mais vulnerável de qualquer sistema de segurança da informação é o ser humano, o qual possui traços comportamentais e psicológicos que o torna suscetível a ataques de engenharia social.  
Cultura Dentre essas características, pode-se destacar: —  Vaidade pessoal e/ou profissional O ser humano costuma ser mais receptivo a avaliação positiva e favorável aos seus objetivos, aceitando basicamente argumentos favoráveis a sua avaliação pessoal ou profissional ligada diretamente ao benefício próprio ou coletivo de forma demonstrativa. —  Autoconfiança O ser humano busca transmitir em diálogos individuais ou coletivos o ato de fazer algo bem, coletivamente ou individualmente, buscando transmitir segurança, conhecimento, saber e eficiência, buscando criar uma estrutura base para o início de uma comunicação ou ação favorável a uma organização ou individuo. —  Formação profissional O ser humano busca valorizar sua formação e suas habilidades adquiridas nesta faculdade, buscando o controle em uma comunicação, execução ou apresentação seja ela profissional ou pessoal buscando o reconhecimento pessoal inconscientemente em primeiro plano. —  Vontade de ser útil  O ser humano, comumente, procura agir com cortesia, bem como ajudar outros quando necessário. —  Busca por novas amizades O ser humano costuma se agradar e sentir-se bem quando elogiado, ficando mais vulnerável e aberto a dar informações. —  Propagação de responsabilidade Trata-se da situação na qual o ser humano considera que ele não é o único responsável por um conjunto de atividades. —  Persuasão Compreende quase uma arte a capacidade de persuadir pessoas, onde se busca obter respostas específicas. Isto é possível porque as pessoas possuem características comportamentais que as tornam vulneráveis a manipulação.
Gestão de Serviços Internet DMZ Router Auth Firewall Server App/data Server App/data App/data Server Server App/data Server L2 Switch ProbeLSS ProbeLSS Router Router w/ WCCP Auth Server Branch Office App/data Router Server Branch Office Branch Office Router Router ProbeLSS App/data ProbeLSS Server ProbeLSS L2 Switch L2 Switch App/data Server L4 Switch
Gestão de Serviços
Gestão de serviços de TI

Recomendados

Gestão da Governança de TI | Andracom
Gestão da Governança de TI | AndracomGestão da Governança de TI | Andracom
Gestão da Governança de TI | AndracomAndracom Solutions
 
Controle de acesso baseado em gestão de riscos
Controle de acesso baseado em gestão de riscosControle de acesso baseado em gestão de riscos
Controle de acesso baseado em gestão de riscosfelipetsi
 
Si segurança e privacidade (1Sem2014)
Si segurança e privacidade (1Sem2014)Si segurança e privacidade (1Sem2014)
Si segurança e privacidade (1Sem2014)Pedro Garcia
 
1 introducao auditoria
1 introducao auditoria1 introducao auditoria
1 introducao auditoriaBoechat79
 
Aula 6 - 5 Auditoria de Sistemas
Aula 6 - 5 Auditoria de SistemasAula 6 - 5 Auditoria de Sistemas
Aula 6 - 5 Auditoria de SistemasSecretaria de Estado da Tributação do RN
 
MATERA MVAR - Gestão de Controles Internos e Riscos Operacionais - Modelo FUNCEF
MATERA MVAR - Gestão de Controles Internos e Riscos Operacionais - Modelo FUNCEFMATERA MVAR - Gestão de Controles Internos e Riscos Operacionais - Modelo FUNCEF
MATERA MVAR - Gestão de Controles Internos e Riscos Operacionais - Modelo FUNCEFMVAR Solucoes e Servicos
 
KPI Roadmap
KPI Roadmap KPI Roadmap
KPI Roadmap CompanyWeb
 
BIA - Business Impact Analysis
BIA - Business Impact AnalysisBIA - Business Impact Analysis
BIA - Business Impact AnalysisAllan Piter Pressi
 

Recomendados

Gestão da Governança de TI | Andracom
Gestão da Governança de TI | AndracomGestão da Governança de TI | Andracom
Gestão da Governança de TI | AndracomAndracom Solutions
 
Controle de acesso baseado em gestão de riscos
Controle de acesso baseado em gestão de riscosControle de acesso baseado em gestão de riscos
Controle de acesso baseado em gestão de riscosfelipetsi
 
Si segurança e privacidade (1Sem2014)
Si segurança e privacidade (1Sem2014)Si segurança e privacidade (1Sem2014)
Si segurança e privacidade (1Sem2014)Pedro Garcia
 
1 introducao auditoria
1 introducao auditoria1 introducao auditoria
1 introducao auditoriaBoechat79
 
Aula 6 - 5 Auditoria de Sistemas
Aula 6 - 5 Auditoria de SistemasAula 6 - 5 Auditoria de Sistemas
Aula 6 - 5 Auditoria de SistemasSecretaria de Estado da Tributação do RN
 
MATERA MVAR - Gestão de Controles Internos e Riscos Operacionais - Modelo FUNCEF
MATERA MVAR - Gestão de Controles Internos e Riscos Operacionais - Modelo FUNCEFMATERA MVAR - Gestão de Controles Internos e Riscos Operacionais - Modelo FUNCEF
MATERA MVAR - Gestão de Controles Internos e Riscos Operacionais - Modelo FUNCEFMVAR Solucoes e Servicos
 
KPI Roadmap
KPI Roadmap KPI Roadmap
KPI Roadmap CompanyWeb
 
BIA - Business Impact Analysis
BIA - Business Impact AnalysisBIA - Business Impact Analysis
BIA - Business Impact AnalysisAllan Piter Pressi
 
Publicação qsp coordenador estadual ma e pa
Publicação qsp coordenador estadual ma e paPublicação qsp coordenador estadual ma e pa
Publicação qsp coordenador estadual ma e paRaimundo Rabelo Filho
 
Webinar BPM
Webinar BPMWebinar BPM
Webinar BPMRafael Lamari Junior
 
Perfil corporativo web
Perfil corporativo webPerfil corporativo web
Perfil corporativo web72security
 
Uma década da lei americana sarbanes oxley
Uma década da lei americana sarbanes oxleyUma década da lei americana sarbanes oxley
Uma década da lei americana sarbanes oxleyCarlos Ferreira
 
Implemente Aud Riscos Abr
Implemente Aud Riscos AbrImplemente Aud Riscos Abr
Implemente Aud Riscos AbrLuiz Deoclecio Fiore, CRMA Certified
 
GID - Governança Integrada de Dados
GID - Governança Integrada de DadosGID - Governança Integrada de Dados
GID - Governança Integrada de DadosBusiness Station
 
artigo Publicado na Revista Petro&Química - Agosto 2010
artigo Publicado na Revista Petro&Química - Agosto 2010artigo Publicado na Revista Petro&Química - Agosto 2010
artigo Publicado na Revista Petro&Química - Agosto 2010Silas_Oliveira
 
Governancia de TI risc
Governancia de TI riscGovernancia de TI risc
Governancia de TI riscalcinoaraujo
 
Mapeamento de áreas de risco a inundação no Estado de São Paulo
Mapeamento de áreas de risco a inundação no Estado de São PauloMapeamento de áreas de risco a inundação no Estado de São Paulo
Mapeamento de áreas de risco a inundação no Estado de São PauloInstituto de Pesquisas Ambientais
 
Risk it session in winnipeg stroud presented deck. approved for publication
Risk it session in winnipeg stroud presented deck. approved for publicationRisk it session in winnipeg stroud presented deck. approved for publication
Risk it session in winnipeg stroud presented deck. approved for publicationRobert Stroud
 
ISACA and RSA CSX Presentation from the RSA 2015 Conference
ISACA and RSA CSX Presentation from the RSA 2015 Conference ISACA and RSA CSX Presentation from the RSA 2015 Conference
ISACA and RSA CSX Presentation from the RSA 2015 Conference Robert Stroud
 
7 conceito risco x perigo - neli pieres magnanelli (dvst)
7 conceito risco x perigo - neli pieres magnanelli (dvst)7 conceito risco x perigo - neli pieres magnanelli (dvst)
7 conceito risco x perigo - neli pieres magnanelli (dvst)mcsilva021
 
Vendor management using COBIT 5
Vendor management using COBIT 5Vendor management using COBIT 5
Vendor management using COBIT 5Robert Stroud
 
FMZ Consulting
FMZ ConsultingFMZ Consulting
FMZ Consultingjmj_monteiro
 
Soluções de Negócios ITPM
Soluções de Negócios ITPMSoluções de Negócios ITPM
Soluções de Negócios ITPM.
 
QualysGuard Policy Manager
QualysGuard Policy ManagerQualysGuard Policy Manager
QualysGuard Policy ManagerSite Blindado S.A.
 
Apresentação controles internos setembro_2012
Apresentação controles internos setembro_2012Apresentação controles internos setembro_2012
Apresentação controles internos setembro_2012Tuffy Filho
 
Papel Do Facilitador - Gestão de Projetos
Papel Do Facilitador - Gestão de ProjetosPapel Do Facilitador - Gestão de Projetos
Papel Do Facilitador - Gestão de ProjetosAgrofel Concessionária New Holland
 
Governação de Processos, Jorge Coelho
Governação de Processos, Jorge CoelhoGovernação de Processos, Jorge Coelho
Governação de Processos, Jorge Coelhocomunidades@ina
 
Sistemas de Normatização Corporativos
Sistemas de Normatização CorporativosSistemas de Normatização Corporativos
Sistemas de Normatização CorporativosDocumentar Tecnologia e Informação
 
Adding value through Program Management
Adding value through Program ManagementAdding value through Program Management
Adding value through Program ManagementWerther Krause
 
PortfóLio Way Nova VersãO 2009
PortfóLio Way Nova VersãO 2009PortfóLio Way Nova VersãO 2009
PortfóLio Way Nova VersãO 2009Luciana Pagnossin
 

Mais conteúdo relacionado

Mais procurados

Publicação qsp coordenador estadual ma e pa
Publicação qsp coordenador estadual ma e paPublicação qsp coordenador estadual ma e pa
Publicação qsp coordenador estadual ma e paRaimundo Rabelo Filho
 
Perfil corporativo web
Perfil corporativo webPerfil corporativo web
Perfil corporativo web72security
 
Uma década da lei americana sarbanes oxley
Uma década da lei americana sarbanes oxleyUma década da lei americana sarbanes oxley
Uma década da lei americana sarbanes oxleyCarlos Ferreira
 
GID - Governança Integrada de Dados
GID - Governança Integrada de DadosGID - Governança Integrada de Dados
GID - Governança Integrada de DadosBusiness Station
 
artigo Publicado na Revista Petro&Química - Agosto 2010
artigo Publicado na Revista Petro&Química - Agosto 2010artigo Publicado na Revista Petro&Química - Agosto 2010
artigo Publicado na Revista Petro&Química - Agosto 2010Silas_Oliveira
 

Mais procurados (7)

Publicação qsp coordenador estadual ma e pa
Publicação qsp coordenador estadual ma e paPublicação qsp coordenador estadual ma e pa
Publicação qsp coordenador estadual ma e pa
 
Webinar BPM
Webinar BPMWebinar BPM
Webinar BPM
 
Perfil corporativo web
Perfil corporativo webPerfil corporativo web
Perfil corporativo web
 
Uma década da lei americana sarbanes oxley
Uma década da lei americana sarbanes oxleyUma década da lei americana sarbanes oxley
Uma década da lei americana sarbanes oxley
 
Implemente Aud Riscos Abr
Implemente Aud Riscos AbrImplemente Aud Riscos Abr
Implemente Aud Riscos Abr
 
GID - Governança Integrada de Dados
GID - Governança Integrada de DadosGID - Governança Integrada de Dados
GID - Governança Integrada de Dados
 
artigo Publicado na Revista Petro&Química - Agosto 2010
artigo Publicado na Revista Petro&Química - Agosto 2010artigo Publicado na Revista Petro&Química - Agosto 2010
artigo Publicado na Revista Petro&Química - Agosto 2010
 

Destaque

Governancia de TI risc
Governancia de TI riscGovernancia de TI risc
Governancia de TI riscalcinoaraujo
 
Mapeamento de áreas de risco a inundação no Estado de São Paulo
Mapeamento de áreas de risco a inundação no Estado de São PauloMapeamento de áreas de risco a inundação no Estado de São Paulo
Mapeamento de áreas de risco a inundação no Estado de São PauloInstituto de Pesquisas Ambientais
 
Risk it session in winnipeg stroud presented deck. approved for publication
Risk it session in winnipeg stroud presented deck. approved for publicationRisk it session in winnipeg stroud presented deck. approved for publication
Risk it session in winnipeg stroud presented deck. approved for publicationRobert Stroud
 
ISACA and RSA CSX Presentation from the RSA 2015 Conference
ISACA and RSA CSX Presentation from the RSA 2015 Conference ISACA and RSA CSX Presentation from the RSA 2015 Conference
ISACA and RSA CSX Presentation from the RSA 2015 Conference Robert Stroud
 
7 conceito risco x perigo - neli pieres magnanelli (dvst)
7 conceito risco x perigo - neli pieres magnanelli (dvst)7 conceito risco x perigo - neli pieres magnanelli (dvst)
7 conceito risco x perigo - neli pieres magnanelli (dvst)mcsilva021
 
Vendor management using COBIT 5
Vendor management using COBIT 5Vendor management using COBIT 5
Vendor management using COBIT 5Robert Stroud
 

Destaque (6)

Governancia de TI risc
Governancia de TI riscGovernancia de TI risc
Governancia de TI risc
 
Mapeamento de áreas de risco a inundação no Estado de São Paulo
Mapeamento de áreas de risco a inundação no Estado de São PauloMapeamento de áreas de risco a inundação no Estado de São Paulo
Mapeamento de áreas de risco a inundação no Estado de São Paulo
 
Risk it session in winnipeg stroud presented deck. approved for publication
Risk it session in winnipeg stroud presented deck. approved for publicationRisk it session in winnipeg stroud presented deck. approved for publication
Risk it session in winnipeg stroud presented deck. approved for publication
 
ISACA and RSA CSX Presentation from the RSA 2015 Conference
ISACA and RSA CSX Presentation from the RSA 2015 Conference ISACA and RSA CSX Presentation from the RSA 2015 Conference
ISACA and RSA CSX Presentation from the RSA 2015 Conference
 
7 conceito risco x perigo - neli pieres magnanelli (dvst)
7 conceito risco x perigo - neli pieres magnanelli (dvst)7 conceito risco x perigo - neli pieres magnanelli (dvst)
7 conceito risco x perigo - neli pieres magnanelli (dvst)
 
Vendor management using COBIT 5
Vendor management using COBIT 5Vendor management using COBIT 5
Vendor management using COBIT 5
 

Semelhante a Gestão de serviços de TI

Soluções de Negócios ITPM
Soluções de Negócios ITPMSoluções de Negócios ITPM
Soluções de Negócios ITPM.
 
Apresentação controles internos setembro_2012
Apresentação controles internos setembro_2012Apresentação controles internos setembro_2012
Apresentação controles internos setembro_2012Tuffy Filho
 
Governação de Processos, Jorge Coelho
Governação de Processos, Jorge CoelhoGovernação de Processos, Jorge Coelho
Governação de Processos, Jorge Coelhocomunidades@ina
 
Adding value through Program Management
Adding value through Program ManagementAdding value through Program Management
Adding value through Program ManagementWerther Krause
 
PortfóLio Way Nova VersãO 2009
PortfóLio Way Nova VersãO 2009PortfóLio Way Nova VersãO 2009
PortfóLio Way Nova VersãO 2009Luciana Pagnossin
 
Aula 04 coneitos de auditoria de sistemas
Aula 04 coneitos de auditoria de sistemasAula 04 coneitos de auditoria de sistemas
Aula 04 coneitos de auditoria de sistemassorayaNadja
 
Dlima Over View
Dlima Over ViewDlima Over View
Dlima Over Viewaparise
 
Folheto Arestas
Folheto ArestasFolheto Arestas
Folheto ArestasArestas
 
CGU - Controles Internos - Coso
CGU - Controles Internos - CosoCGU - Controles Internos - Coso
CGU - Controles Internos - CosoFelipe Prado
 
Taking - Gestão Integrada de Riscos Corporativos
Taking - Gestão Integrada de Riscos CorporativosTaking - Gestão Integrada de Riscos Corporativos
Taking - Gestão Integrada de Riscos CorporativosTaking
 
Como definir e aplicar os indicadores de compliance
Como definir e aplicar os indicadores de complianceComo definir e aplicar os indicadores de compliance
Como definir e aplicar os indicadores de compliancePriscila Stuani
 

Semelhante a Gestão de serviços de TI (20)

FMZ Consulting
FMZ ConsultingFMZ Consulting
FMZ Consulting
 
Soluções de Negócios ITPM
Soluções de Negócios ITPMSoluções de Negócios ITPM
Soluções de Negócios ITPM
 
QualysGuard Policy Manager
QualysGuard Policy ManagerQualysGuard Policy Manager
QualysGuard Policy Manager
 
Apresentação controles internos setembro_2012
Apresentação controles internos setembro_2012Apresentação controles internos setembro_2012
Apresentação controles internos setembro_2012
 
Papel Do Facilitador - Gestão de Projetos
Papel Do Facilitador - Gestão de ProjetosPapel Do Facilitador - Gestão de Projetos
Papel Do Facilitador - Gestão de Projetos
 
Governação de Processos, Jorge Coelho
Governação de Processos, Jorge CoelhoGovernação de Processos, Jorge Coelho
Governação de Processos, Jorge Coelho
 
Sistemas de Normatização Corporativos
Sistemas de Normatização CorporativosSistemas de Normatização Corporativos
Sistemas de Normatização Corporativos
 
Adding value through Program Management
Adding value through Program ManagementAdding value through Program Management
Adding value through Program Management
 
PortfóLio Way Nova VersãO 2009
PortfóLio Way Nova VersãO 2009PortfóLio Way Nova VersãO 2009
PortfóLio Way Nova VersãO 2009
 
Aula 04 coneitos de auditoria de sistemas
Aula 04 coneitos de auditoria de sistemasAula 04 coneitos de auditoria de sistemas
Aula 04 coneitos de auditoria de sistemas
 
Dlima Over View
Dlima Over ViewDlima Over View
Dlima Over View
 
Implementação sig
Implementação sigImplementação sig
Implementação sig
 
Folheto Arestas
Folheto ArestasFolheto Arestas
Folheto Arestas
 
CGU - Controles Internos - Coso
CGU - Controles Internos - CosoCGU - Controles Internos - Coso
CGU - Controles Internos - Coso
 
GET
GETGET
GET
 
Simulado cobit41
Simulado cobit41Simulado cobit41
Simulado cobit41
 
Cobit2
Cobit2Cobit2
Cobit2
 
Aula3 fundamentos teoricos_2009
Aula3 fundamentos teoricos_2009Aula3 fundamentos teoricos_2009
Aula3 fundamentos teoricos_2009
 
Taking - Gestão Integrada de Riscos Corporativos
Taking - Gestão Integrada de Riscos CorporativosTaking - Gestão Integrada de Riscos Corporativos
Taking - Gestão Integrada de Riscos Corporativos
 
Como definir e aplicar os indicadores de compliance
Como definir e aplicar os indicadores de complianceComo definir e aplicar os indicadores de compliance
Como definir e aplicar os indicadores de compliance
 

Mais de Andracom Solutions

Sistema de Gestão Pública Municipal
Sistema de Gestão Pública MunicipalSistema de Gestão Pública Municipal
Sistema de Gestão Pública MunicipalAndracom Solutions
 
Solução em Mobilidade | Andracom
Solução em Mobilidade | AndracomSolução em Mobilidade | Andracom
Solução em Mobilidade | AndracomAndracom Solutions
 
Gestão de Risco de Ti | Andracom
Gestão de Risco de Ti | AndracomGestão de Risco de Ti | Andracom
Gestão de Risco de Ti | AndracomAndracom Solutions
 
Gestão de Ativos de Ti | Andracom
Gestão de Ativos de Ti | AndracomGestão de Ativos de Ti | Andracom
Gestão de Ativos de Ti | AndracomAndracom Solutions
 
Gestao de Segurança de Ti | Andracom
Gestao de Segurança de Ti | AndracomGestao de Segurança de Ti | Andracom
Gestao de Segurança de Ti | AndracomAndracom Solutions
 

Mais de Andracom Solutions (7)

Sistema de Gestão Pública Municipal
Sistema de Gestão Pública MunicipalSistema de Gestão Pública Municipal
Sistema de Gestão Pública Municipal
 
Solução em Mobilidade | Andracom
Solução em Mobilidade | AndracomSolução em Mobilidade | Andracom
Solução em Mobilidade | Andracom
 
Gestão de Risco de Ti | Andracom
Gestão de Risco de Ti | AndracomGestão de Risco de Ti | Andracom
Gestão de Risco de Ti | Andracom
 
Gestão de Ativos de Ti | Andracom
Gestão de Ativos de Ti | AndracomGestão de Ativos de Ti | Andracom
Gestão de Ativos de Ti | Andracom
 
Gestao de Rede | Andracom
Gestao de Rede | AndracomGestao de Rede | Andracom
Gestao de Rede | Andracom
 
Gestao de Segurança de Ti | Andracom
Gestao de Segurança de Ti | AndracomGestao de Segurança de Ti | Andracom
Gestao de Segurança de Ti | Andracom
 
Cidade Digital | Andracom
Cidade Digital | AndracomCidade Digital | Andracom
Cidade Digital | Andracom
 

Gestão de serviços de TI

  • 1.
  • 3. Gestão de Serviços Benefícios da Gestão de Serviços •  Atualização constante das plataformas, revisão e interpretação de eventos buscando a melhoria contínua; •  Recomendações Técnicas e de Infra-Estrutura visando melhor desempenho da rede; •  Melhores práticas em Segurança da Informação (ISO e ABNT); •  Economia de até 58% nos custos de gerenciamento de segurança de informação; •  Protege continuamente os seus negócios, dados da empresa e a reputação; •  Evita ataques e danos antes que eles prejudiquem e interrompam as operações do seu negócio;
  • 4. Gestão de Serviços •  Projetado para melhorar o tempo de produtividade e o desempenho do sistema sem um alto investimento em tecnologia e recursos. •  Relatórios de Gestão Mensais, com indicadores e informações detalhadas trazendo visibilidade e controle da segurança; •  Topologia e implementação das políticas e configurações do ambiente monitorado; •  Análise e busca constante das vulnerabilidades; •  SLA (Acordo de Nível de Serviço) definido em detalhes para cada serviço executado; •  ROI (Retorno de Investimento); •  Apresentação Anual dos Serviços Prestados.
  • 5. Gestão de Serviços Governança, Risco, Conformidade e Cultura (GRC-C) Governança   Conformidade   Definir  e  avaliar  obje.vos,  metas  e  performances   Incen.va/exige  o  cumprimento   Validar  a  estratégia  de  negócio  e  o  modelo  para   das  normas,  leis  e  polí.cas   alcançar  os  obje.vos   existentes     Detecta  a  não-­‐conformidade  e   responde  em  conformidade   Risco   Cultura   Estabelece  clima  organizacional  e   Iden.fica,  avalia  e  trata  os  potenciais   valores  pessoais  que  promovem   obstáculos  para  se  alcançar  os  obje.vos   confiança,  integridade  e   Iden.fica  e  trata  violações  mandatórias  ou   rastreabilidade.   voluntárias  de  limites  
  • 6. Evolução da Abordagem GRC Governar  e  Gerenciar   • Automa.zar  controles  e  monitoramento     • Intersecção  entre  múl.plos  regulamentos  legais   de • Decisões  baseadas  em  Risco   rida • Inves.mento  em  Conformidade  com  padrões  de   Matu Governança   • Abordagem  integrada  à  GRC   Reduzir  Custo   • Associar  controle  à  múl.plos  regulamentos   legais     • O.mizar  controles   • Associar  controles  e  risco   • Associar  custo  de  projeto  e  correções   011 Estar  em  Conformidade   8 .. . 2 200 • Foco  somente  em  leis   ... 3 200 • Muitos  controles   • Esforço  manual   As  Is   • Controle  manual   Fonte:  Computer  Associates  
  • 7. Meta-Framework Pessoas, Processos, Tecnologia e Estratégias As organizações estão optando cada vez mais pelas boas práticas de Governança Corporativa. Um aspecto significativo é a inclusão da segurança da informação como parte do risco operacional. Nossa   s olução:   E P75   -­‐   S oAware   p ara   d iagnósFco   e   a valiação   d o   n ível   d e   m aturidade   d a   s egurança   da   i nformação.   Mapeia  a  situação  atual  da  organização  (nível   1 de  maturidade);       Compara  com  a  situação  das  melhores   2 organizações  (benchmarking);     Estabelece  e  monitora  passo  a  passo  as   3 melhorias  dos  processos  rumo  à  estratégia  da   organização  (plano  de  crescimento);     Compara  com  regulamentações  e  padrões   4 internacionais  (auditoria).  
  • 9. Governança Governança Corporativa   É   um   conjunto   de   responsabilidades   e   prá.cas,   exercido   pelo   Comitê   Dire.vo   ou   Execu.vo,   com  o  obje.vo  e:   •  Prover  direcionamento  estratégico;   •  Garan.r  que  os  objeFvos  são  alcançados;   •  Verificar  que  os  recursos  corporaFvos  são  u.lizados  de  forma  responsável  e   transparente;   Fonte:  Adaptação  do  CoBiT  
  • 10. PDCA do GRC Risco GRC Framework
  • 11. Risco Risco, é a medida para um fator de incerteza Falha de Hardware Falha na Transmissão Falha Humana Desastre Natural Incerto 3% Falha de Software 9% 30% 11% 24% 23% Evento: Fato de origem voluntária ou não que apresenta risco de dano. Também denominado "Fator de Risco"
  • 12. Risco Dano:  Conseqüência  nociva  acarretada  por  um  Evento.     Impacto  de  resultado  prejudicial.  Jus.fica  a  Con.ngência.   Avaliação:  considera  a  pior  situação,  no  pior   momento,  no  cenário  mais  pessimista     Cenário:  consistente  com  a  realidade  da  Organização     Controle:  deveria  ser  proa.vo,  predi.vo  e  corre.vo  
  • 13. Risco Risco x Impacto Fatores de Risco são aleatórios e imprevisíveis, comparando-se ao efeito de uma onda, cuja intensidade e dano estarão vinculados ao cenário de ocorrência quando se concretiza; Impactos são previsíveis, de acordo com o conhecimento do ambiente onde se manifestam e vinculados aos Eventos que se concretizaram, podendo ser contidos através de medidas de mitigação, independente do cenário;
  • 14. Risco Conceitos —  BIA (Business Impact Analysis): é a Análise de Impacto nos Negócios, acarretada pela indisponibilidade de um Processo (atividade) ou Componente (recurso por ele utilizado); —  Disaster Recovery Plan (DRP): Plano de Recuperação de Desastres. É a documentação das atividades necessárias para restauração ou substituição dos recursos (Componentes) utilizados pelos Processos de Negócios; —  Business Continuity Plan (BCP): Plano de Continuidade de Negócios. É o conjunto de procedimentos documentados pelo DRP e pelo Plano de Continuidade de Operações, monitorado por um Plano de Gerenciamento de Crises (PRD) que facilita sua gestão e atualização.
  • 15. PDCA do GRC Plano de Continuidade GRC Framework
  • 16. Plano de Continuidade do Negócio Plano de Recuperação de Desastres Plano de Contingência Operacional Plano de Continuidade de Negócio = PRD+PCO
  • 17. PDCA do GRC Conformidade GRC Framework
  • 18. Conformidade O mundo de Leis, Regulamentos, Normas e Normalidades Companies ACT PIPEDA DPA BDSG KonTraG RIP Basel II IAS Sarbanes-Oxley HIPAA LOPD EUPD CA SB 1398 Japan Privacy OSHA CA AB 1950 SOX, FICS, Basel II NERC CA SB 1386 FERC Reg. 357 Homeland Security BACEN Basiléia II Ato Bancario CVM ISO CLERP 9 Lei 3494/2000 AS4360 Lei 321/2004 PA&PAA Lei de Proteção dos King II RPT Dados Pessoais Nov/2000
  • 19. Conformidade O Brasil de Leis, Decretos, Portarias, Resoluções... Código Civil Código Penal Instituições Financeiras e outras ü  Banco Central (3380, 2817, 2554, ...), ü  Susep 249..., CGPC 13 ü  Basiléia II ü  PCI/DSS, BITS, PQO/BM&F, Anbid ü  ISO (ABNT) Mercado de Capitais ü  CVM (358, ...) Governo ü  Decretos 4553, 3505, ü  TCU Receita e Fazenda ü  Receita Federal, Nota Fiscal Eletrônica Saúde ü  Hippa, Resoluções CFM
  • 20. Conformidade A Avaliação da Conformidade é um exame sistemático do grau de atendimento por parte de um produto, processo ou serviço a requisitos especificados. Fonte:  ABNT  
  • 21. Conformidade Aplicação da Conformidade A Avaliação da Conformidade pode ser aplicada voluntária ou compulsoriamente. —  Voluntária: quando partes de uma decisão de um fornecedor ou mais; —  Compulsória: quando um organismo regulamentador emite um instrumento legal, e se destina, prioritariamente, à defesa do consumidor, instituição, investidores ou a sociedade em geral. Fonte:  ABNT  
  • 22. Conformidade Mecanismo de Avaliação A Avaliação da Conformidade possui diferentes mecanismos para verificar a conformidade de um produto, processo ou serviço em relação aos critérios estabelecidos por normas e regulamentos técnicos. Os praticados no Brasil são os seguintes: —  certificação; —  declaração da conformidade pelo fornecedor; —  inspeção; —  ensaio; —  etiquetagem. Fonte:  ABNT  
  • 23. Conformidade Controle de acesso dos usuários —  Registro do usuário: ID única para cada usuário. —  Gerenciamento de privilégios: aqui entra o controle de acesso baseado em papéis. —  Gerenciamento de senhas: administração segura de senhas. Controle de Acesso às Aplicações —  Registro de Eventos: Trilha de auditoria registrando exceções e outros eventos de segurança devem ser armazenados por um tempo adequado. —  Monitoração do Uso do Sistema: Os procedimentos do monitoração do uso do sistema devem ser estabelecidos. —  Sincronização dos Relógios: Para garantir a exatidão dos registros de auditoria. Fonte:  ABNT  
  • 24. PDCA do GRC Cultura GRC Framework
  • 25. Cultura Engenharia Social ou Cultura Compreende a inaptidão dos indivíduos manterem-se atualizados com diversas questões pertinentes a tecnologia da informação, além de não estarem conscientes do valor da informação que eles possuem e, portanto, não terem preocupação em proteger essa informação conscientemente. É importante salientar que, a engenharia social (Cultura) é aplicada em diversos setores da segurança da informação independente de sistemas computacionais, software e ou plataforma utilizada, o elemento mais vulnerável de qualquer sistema de segurança da informação é o ser humano, o qual possui traços comportamentais e psicológicos que o torna suscetível a ataques de engenharia social.
  • 26. Cultura Engenharia Social •  Estabelece  clima  organizacional  e  valores  pessoais  que  promovem  confiança,   integridade  e  rastreabilidade;   •  Engenharia social compreende a inaptidão dos indivíduos manterem-se atualizados com diversas questões pertinentes a tecnologia da informação; •  Além de não estarem conscientes do valor da informação que eles possuem e, portanto, não terem preocupação em proteger essa informação conscientemente; •  É importante salientar que, a engenharia social é aplicada em diversos setores da segurança da informação independente de sistemas computacionais, software e ou plataforma utilizada, o elemento mais vulnerável de qualquer sistema de segurança da informação é o ser humano, o qual possui traços comportamentais e psicológicos que o torna suscetível a ataques de engenharia social.  
  • 27. Cultura Dentre essas características, pode-se destacar: —  Vaidade pessoal e/ou profissional O ser humano costuma ser mais receptivo a avaliação positiva e favorável aos seus objetivos, aceitando basicamente argumentos favoráveis a sua avaliação pessoal ou profissional ligada diretamente ao benefício próprio ou coletivo de forma demonstrativa. —  Autoconfiança O ser humano busca transmitir em diálogos individuais ou coletivos o ato de fazer algo bem, coletivamente ou individualmente, buscando transmitir segurança, conhecimento, saber e eficiência, buscando criar uma estrutura base para o início de uma comunicação ou ação favorável a uma organização ou individuo. —  Formação profissional O ser humano busca valorizar sua formação e suas habilidades adquiridas nesta faculdade, buscando o controle em uma comunicação, execução ou apresentação seja ela profissional ou pessoal buscando o reconhecimento pessoal inconscientemente em primeiro plano. —  Vontade de ser útil  O ser humano, comumente, procura agir com cortesia, bem como ajudar outros quando necessário. —  Busca por novas amizades O ser humano costuma se agradar e sentir-se bem quando elogiado, ficando mais vulnerável e aberto a dar informações. —  Propagação de responsabilidade Trata-se da situação na qual o ser humano considera que ele não é o único responsável por um conjunto de atividades. —  Persuasão Compreende quase uma arte a capacidade de persuadir pessoas, onde se busca obter respostas específicas. Isto é possível porque as pessoas possuem características comportamentais que as tornam vulneráveis a manipulação.
  • 28. Gestão de Serviços Internet DMZ Router Auth Firewall Server App/data Server App/data App/data Server Server App/data Server L2 Switch ProbeLSS ProbeLSS Router Router w/ WCCP Auth Server Branch Office App/data Router Server Branch Office Branch Office Router Router ProbeLSS App/data ProbeLSS Server ProbeLSS L2 Switch L2 Switch App/data Server L4 Switch