View
246
Download
1
Category
Preview:
DESCRIPTION
Slides apresentados na palestra sobre gestão de riscos
Citation preview
Risco
Um fator estratégico
Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
www.ShieldSaaS.com
contato@ShieldSaaS.com
Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
VAMOS COMEÇAR?
Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
Impacto Frequência
Risco
Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
O que é risco?
A que riscos estou exposto?
Qual o meu apetite ao risco?
Como mensuro o meu risco?
Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
Risco é...
...o resultado objetivo da combinação entre a probabilidade de
ocorrência de um determinado evento, aleatório, futuro e o
impacto resultante caso ele ocorra.
Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
• O conceito de risco é associado
à ideia de futuro
• O risco no passado é evento, e
não mais risco
• O estudo de riscos é baseado
em probabilidades e estudos de
eventos passados
Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
Gestão
Equipes
Frameworks
TI x
negócio
Ciclo
Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
Gestão de riscosSob a visão do negócio
Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
Processos
Presidência
Financeiro RH TI SI Produto Marketing
Equipes Sistemas Ambientes Documentos Fornecedores
Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
ProcessosTI como vetor de ameaça
Presidência
Financeiro RH TI SI Produto Marketing
Equipes Sistemas Ambientes Documentos Fornecedores
Riscos do negócio
Riscos Financeiros
Riscos de RH
Riscos de TI
Riscos de compliance
Riscos de produtos
Riscos de imagem
Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
TI como vetor de ameaça
Se os riscos de TI são tão vitais,como isso afeta e gera riscos para o negócio?
Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
TI como vetor de ameaça
Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
Magnitude
Frequência
Como percebemos o risco?
Oportunidades
Baixo
MédioAlto
Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
Magnitude
Frequência
Como percebemos o risco?
Planeja realizar
Aceita
ControlaNega ou evita
Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
Como percebemos o risco?
Apetite ao risco: Quantidade de
risco definida pelo board que se
está disposto a assumir em prol do
atendimento à sua missão
estratégica
importantes
Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
Como percebemos o risco?
importantes
Tolerância ao risco: Variação
aceitável relativa ao
atingimento de uma meta ou
objetivo
Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
• Maneira como os envolvidos
compreende as consequências
pelo potencial da ocorrência do
risco
• Está diretamente relacionada a
experiências anteriores e
expectativas futuras
• A percepção de risco tende à
psicologia
Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
- Demonstrar maturidade gerencial
- Suporte no direcionamento estratégico
- Condição para abertura de capital
- Atendimento a regulamentação
Outros benefícios
estratégicos
Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
Equipes envolvidas
Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
Accountability
Relacionado àqueles
que possuem os
recursos e tem a
autoridade para
aprovar a execução e
ou aceitar a saída que
venha de uma
atividade
Responsibility
Relacionado àqueles
que devem garantir
que as atividades
foram cumpridas
conforme os
requisitos definidos
Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
Presidência
Financeiro RH TI SI Produto Marketing
Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
Board
CIO
CEO
CRO
CFO
Comitês de risco
Gestores
PMO
Controles internos
RH
Auditoria
Responsável ou
parcialmente accountable
Totalmente accountable
Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
Comunicação
de
RiscosCapacidade
de tratamento
Status e indicadores
Expectativas estratégicas
Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
Comunicação
de
Riscos
Programa de gestão de riscos
Indicadores e métodos de métricas
Procedimentos, material de conscientização
Avaliação de maturidade segundo framework
Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
TI x Negócio
Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
Processos
Presidência
Financeiro RH TI SI Produto Marketing
Equipes Sistemas Ambientes Documentos Fornecedores
Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
Os principais projetos da organização dependem de .....
As boas práticas do ITIL sugerem o ponto central de
contato na .......
A ...... é responsável pela guarda de informações e
dados em backup
O orçamento da ....... é historicamente um dos maiores
em grande parte das organizações
Em geral, quando a organização vai expandir, a
“infantaria” é representada pela .....
Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
Frameworks
Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
Complementa o CobiT4.1 no sentido de gestão e percepção
estratégica de riscos de TI no processo de gestão estratégica da
governança de TI.
Suporta o mercado de riscos (financeiro) com visões estratégicas
sobre os riscos da organização
Norma da família ISO 27000 dedicada a tratar do tema “Gestão de
Riscos” com o enfoque em segurança da informação
Norma Australiana-Neozelandesa para tratamento e gestão de
riscos. Uma das referências que cita “risco” como podendo ser
positivo (oportunidade)
Norma ISO publicada no final de 2011 com enfoque em unificar o
tema dando um cunho geral e não só de TI ou financeiro
É um conjunto de ferramentas, técnicas e métodos para Avaliações
de risco de segurança da informação e planejamento estratégico.OCTAVE
Risk IT
(CobiT 4.1)
AS/NZS
4360
COSO
ISO 27005
ISO 31000
Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
Ciclo e manutençãoModelo da ISO 27005
Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
AARAnálise de Riscos
Definição de contexto
Identificação de riscos
Estimativa de riscos
Avaliação de riscos
Com
unic
ação
do
Ris
co
Avaliação
satisfatória?
Monitoram
ento e Análise C
rítica de Riscos
Tratamento do Risco
Aceitação do risco
O tratamento foi
satisfatório?
Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
Para anotar
Finalizando...
Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
Risco e a combinação entre a probabilidade de ocorrência de um
determinado evento e o impacto resultante caso ele ocorra.
A Análise de Riscos é o processo pelo qual são relacionados os eventos, os
impactos e avaliadas as probabilidades destes se concretizarem
O gerenciamento de riscos busca garantir que os objetivos estratégicos de
negocio não sejam expostos por falhas de TI
A alta direção deve revisar e aprovar o plano de ação (accountability)
O gerenciamento de riscos deve ser um processo contínuo e em constante
Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.
Obrigado
Copyright © 2011 Shield – Security as a Service. Todos os direitos reservados.
www.ShieldSaaS.com
www.slideshare.net/ShieldSaaS
www.Facebook.com/ShieldSaaS
www.twitter.com/ShieldSaaS
contato@ShieldSaaS.com
Recommended