Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Palestra Jeferson D'Addario Governança de Riscos

503 views

Published on

Published in: Education
  • Be the first to comment

  • Be the first to like this

Palestra Jeferson D'Addario Governança de Riscos

  1. 1. Governança de riscos- Governança, Riscos e ConformidadeJefersonD’Addario, CBCP, CRISC, MBCIBusiness Continuity & Security Senior Practices LeaderSócio-Diretor São Paulo, 05 de Outubro 2011jeferson@daryus.com.br www.daryus.com.brwww.twitter.com/jefebrasil www.twitter.com/daryusbr
  2. 2. JefersonD’AddarioCBCP pelo DRII-USA,MBCI pelo BCI-UK,CRISC pela ISACAISO 27001 Lead Auditor pelo BSI-UK,CobitFoundationCertified pela ISACA,ITIL e ISFS pelo EXINSócio-fundador DARYUS, Consultor Sênior em Continuidade de Negócios eSegInfo.Formação em Economia e TI. Mais de 16 anos e 34 projetos no Brasil e Exterior paraempresas como: CVG Edelca Venezuela, Johnson & Johnson companies, Novartis, Sandoz,CAGECE, 3 Coracoes, Grupo Votorantim, PDVSA, HSBC, Vale, Bovespa, Banco Mercantil doBrasil, Grupo Accor – Ticket, Comgás, GRSA, MBR, Grupo Ultra, Petrobrás, Liquigás,Gerdau, Natura Banco BGN S/A, GVT, SAMARCO Mineração, FISEPE entre outros.Ganhador do Prêmio SECMASTER 2006 na categoria de Melhor Contribuição para oDesenvolvimento de Mercado. Responsável por trazer o DRII para o Brasil.Coordenador e professor do curso de GTSI – Gestão e Tecnologia em Segurança daInformação da FIT – Faculdade Impacta Tecnologia – SP-SP.Atuoutambémcomodocente de cursos de pós-graduaçãopara a FATEC-SP e IPEN – Institutode PesquisasNucleares – USP – SP. Restritoao GRM. © Copyright 2011. DARYUS – São Paulo – Brasil. | www.globalriskmeeting.com.br | +55 11 3285-6539
  3. 3. Quem somos?• Fundada em 2005•Empresa 100% nacional• Unidades de Negócios: Consultoria e Educação • Consultoria: Referência em Continuidade de Negócios, Segurança da Informação e Gestão de Riscos • Educação: Parceria exclusiva com DRII desde 2005, parceira oficial do EXIN e da ISACA, possui desde cursos de especialização até pós-graduações.• Eventos renomados e exclusivos.
  4. 4. Educação -Cursos Acadêmicos em parceria com a Faculdade Impacta - Pós em Gestão de Segurança da Informação (380 hs) - Pós em Governança de TI (380 hs) - Pós em Investig. Fraudes e Forense Computacional (120hs) -Cursos de Especialização (venda direta e por parceiros) - Business Continuity – DRII e DARYUS -DisasterRecoveryPlan - DARYUS - Analista de Segurança da Informação (SecurityOfficer) - ITIL, ISO 27002 foundation, ISO 20000 - EXIN -Cobit - ISACA - CISA, CISM – ISACA -Cursos de Riscos Financeiros e Conformidade - Controles Internos -Controles Contábeis - Gestão de Conformidade - Gestão de Riscos - Prevenção a Fraude - Prevenção a Lavagem de Dinheiro
  5. 5. www.daryuseducation.com.br EspecializaçõesePós-Graduações CBCP CFCP ABCPISMES MBCPISMAS CBCAISFS
  6. 6. Algunsclientes Restritoao GRM. © Copyright 2011. DARYUS – São Paulo – Brasil. | www.globalriskmeeting.com.br | +55 11 3285-6539
  7. 7. Gartner Executive Summary 2010Necessitam de gestão de riscos contínua e planejamento de continuidade de negócios
  8. 8. Como um evento pode mudar tanto omundo em apenas 102 minutos?- Mais de 3000 mortos- Prejuízos de bilhões de dólares (43biU$)- Re-estudo completo da Gestão de RiscosMudança de paradigma na gestão de riscos Copyright © 2007. DARYUS® Strategic Risk Consulting. BRASIL. July 2007 8 Restrito. www.daryus.com.br – Avenida Paulista, 1009 – 11o. Andar – cj 1102 - São Paulo – SP – +55 11 3285-6539
  9. 9. Estragos e mortes- Rio de Janeiro entre os dias 5 e 6 de abril- 182 mortos, mais de 100 feridos;- O Serviço de Meteorologia do Rio registrou no período o maior índicepluviométrico da cidade em mais de 40 anos: 288 mm. 9
  10. 10. Governança, RiscoseConformidade- Inteligência de riscos, umatendênciamundial. Governança Corporativa e ISO 38500 de Cobit 4.1 TI Continuidade BS 25999-1 de Segurança BS 25999-2 ISO 27001 Negócios da BS 25777-1 ISO 27002 Informação Cobit DS.4 ISO 27005 Cobit DS.5 Leis e Leis e Regulamentações Regulamentações Segurança, Saúde e Meio Ambiente Responsabilidade ISO 14001 Social ISO 26001 OHSAS 18001 Sustentatibilidade Corporativa Gestão de ISO 31000 Riscos
  11. 11. “Risk management is a multi-disciplinary field and multi- covers a large and overlapping range of business areas.” Fonte: BSI 2007. Business Continuity & Risk Fonte:“ A gestão de riscos é um campo multi-disciplinar e abrange uma multi- vasta gama e sobreposição de áreas de negócio. "Tendência mundial Copyright © 2007. DARYUS® Strategic Risk Consulting. BRASIL. July 2007 Restrito. www.daryus.com.br – Avenida Paulista, 1009 – 11o. Andar – cj 1102 - São Paulo – SP – +55 11 3285-6539
  12. 12. Como me organizar e preparar para que a Resiliencia seja efetiva?Para que GRC – Governança, Riscos e Conformidade existam, o que é necessário?
  13. 13. Equilíbrioéessencial!Adaptado de BSC – Kaplan e Norton
  14. 14. Passosprincipais1o. Entendimento do negócio2o. Análise de RiscoseImpactos3o. SelecionarEstratégias/Controles4o. Resposta a incidentes5o. Capacitareprepararequipes6o. Testareexercitar
  15. 15. 1o. Entenderonegócio Estratégicos Business BSC Riscos PlanPrimários Lavrar Beneficiar Vender Entregar Secundários TI Financeiro RH Juridico Vendas
  16. 16. 2o. RiscoseImpactos Pessoas BIA = IMPACTOS Processos Quando? TIC Quanto? Financeiro, Operacional, Imagem, Legal Por que? Alvo da Estratégia de Continuidade (80/20)
  17. 17. Consciência + Regras = ResultadosDiretrizes Gerais de Continuidade:1. Garantir a VIDA das pessoas;2. MINIMIZAR os impactos e garantir a continuidade das funções críticas;3. Proteger a IMAGEM da organização;4. Gestão de Continuidade é uma disciplina/domínio de Gestão de Riscos ESTRATÉGICOS5. Uma POLÍTICA de GCN precisa ser estabelecida6. Um processo CONTÍNUO precisa ser implementado e mantido na organização
  18. 18. Estrutura da GCN
  19. 19. TCU vê problemas de segurança de informação em 65% dosórgãos públicos.Para se ter uma idéia, 97% dos órgãos não têm o chamado"plano de continuidade de negócios" --que são diretrizes quedevem ser seguidas em caso de haver uma pane no sistema que interrompa oserviço.Fonte: Folha de S. Paulo Set/2010 19
  20. 20. ”80% dos e-mails oumaissão spam.” Segundo a Symantec
  21. 21. " A medidaque a tecnologiaevolui, seuenvolvimento com elaémenor. Ela se torna parte dapaisagem ” DemiGetschko, conselheiro do CGI Brasil
  22. 22. Prapensar! Prapensar!1o. O queserá a SI daquiprafrente?2o. Qualopapel do Security Officer?3o. TIC enãomais TI4o. TICI enãomais TIC5o. TICI comoserviço6o. Funcionáriosdageração Y6o. Fimdapadronizaçãoeuma nova regraparao EndPoint Security
  23. 23. Security Officer antigo1- Não entende de negócio2- Não entende como faz parte do negócio3- Técnico, geralmente vem de TI e introspectivo4- Bloqueia tudo, sem entender o por quê5- Muitas policies e pouca política6- Dificuldade extrema de entender a gestãonecessária para a função 23
  24. 24. Security Officer novo1- Entende de negócio2- Entende como faz parte do negócio3- Menos técnico, mais diplomático e negociador4- Bloqueia o necessário, após entender o por quê5- Política simples, clara e objetiva6- Aplica a gestão necessária envolvendo pessoas,processos e tecnologia 24
  25. 25. RECEITA? Justificativa LEIS OU CUSTO?REGULAMENTOS?
  26. 26. 1. Segurança da Informação NÃO DEVE ser assunto somente das empresas e na relação profissional;2. Leve para casa! É responsabilidade da FAMÍLIA! FAMÍLIA3. As campanhas de divulgação de PSI das empresas podem abranger recomendações para a vida pessoal dos funcionários4. Crie comunidades de discussão entre os funcionários5. Crie material na Intranet com orientações mínimas de segurança e riscos da Internet para a vida pessoal dos pess funcionários.
  27. 27. 6. Você realmente está monitorando o que você faz na Internet? seu filho? Sua família?7. A maioria das brigas de torcidas uniformizadas acontecem com arranjos via Internet. Muitos dos envolvidos fazem isso de dentro do ambiente de trabalho.8. Socialize a segurança da Informação. É informação e Informação não tecnologia da Informação9. Use as redes sociais para monitoramento de apoio10. Monitore equipes críticas de TIC e Desenvolvimento de Sistemas.
  28. 28. Muito grato!jeferson@daryus.com.br | www.twitter.com/jefebrasil www.daryus.com.br | www.twitter.com/daryusbr 11 3285-6539 Av. Paulista, 1009 – 11º. andar – 01311-000 – SP/SP

×