Escolar Documentos
Profissional Documentos
Cultura Documentos
2.0 | (rildo.santos@CompanyWeb.com.br)
Rildo F Santos
(rildo.santos@companyweb.com.br)
Rildo FVerso
Santos
Introduo
Gesto de Risco em TI
Gesto de Risco de TI
As melhores prticas em Gesto de Risco de TI
(rildo.santos@companyweb.com.br)
Contedo
Gesto de Risco em TI
1 Introduo
Motivadores da onda de Gesto de Risco
Governana Corporativa
Governana de TI
Evoluo (da Gesto de Segurana da Informao
para Gesto de Risco)
Principais Guias, Normas e Frameworks
44 As
As Melhores
Melhores Prticas
Prticas (Guias,
(Guias, Normas
Normas ee
Frameworks)
Frameworks)
-- Gesto
Gesto de
de Risco
Risco Operacional:
Operacional: COSO
COSO
-- Governana
de
TI
&
Gesto
Estratgica
Governana de TI & Gesto Estratgica de
de TI:
TI:
COBIT
COBIT
-- Gesto
Gesto de
de Servios
Servios de
de TI:
TI: ITIL
ITIL
-- Gesto
de
Segurana
da
Informao:
Gesto de Segurana da Informao: ISO
ISO 17799
17799
-- Desenvolvimento
de
Software:
Prticas
PMBok
Desenvolvimento de Software: Prticas PMBok ee
Processo
Processo Unificado
Unificado
-Gesto
-Gesto de
de Fornecedores:
Fornecedores: e-SCM.
e-SCM.
55 Controle
Controle Internos:
Internos:
-- Definio
Definio
-- Compliance
Compliance com
com regulamentao
regulamentao
-- Controle
Eficientes
Controle Eficientes
-- Auditoria
Auditoria Interna
Interna
66 Estudo
Estudo de
de Caso
Caso
Elaborao
Elaborao de
de Estratgia
Estratgia de
de Gesto
Gesto de
de Risco
Risco
em
em Ambiente
Ambiente de
de TI
TI
(rildo.santos@companyweb.com.br)
Introduo
Origem da palavra:
A origem da palavra risco controvertida. Alguns autores afirmam que ela deriva de resecare (cortar), empregada
Gesto de Risco em TI
para descrever geografias agudas como as dos recifes que tinham o poder de afundar navios. Como a navegao
sempre foi uma atividade importante para o desenvolvimento humano, era aconselhvel evitar o risco de perder
as embarcaes e suas cargas. Outra possvel origem indicada por Peter Bernstein no livro Desafio aos Deuses.
Segundo o autor, risco vem do italiano risicare, que significa ousar. No sentido de incerteza, derivada do
latim risicu e riscu.
As primeiras tcnicas de gesto de risco foram implantadas pelas seguradoras justamente com as aplices para
navios. No sculo 20, entre as dcadas de 60 e 80, o setor financeiro se dedicou ao aperfeioamento das
ferramentas de controle de risco, entusiasmados pela possibilidade de prever o futuro e evitar perdas previsveis
no presente. Em 1994, o JP Morgan lanou o Value at Risk (VaR), clculo amplamente utilizado pelas instituies
financeiras para medir o risco probabilstico de um portflio de aplicaes financeiras. muito mais complexo,
porm, dimensionar e avaliar riscos quando a rgua no pode ser simplesmente numrica, como no caso dos
bancos.
Em 2002, depois de escndalos financeiros (Enron e WorldCom..), institui-se o ato Sarbanes-Oxley (Sox) tm
obrigado as empresas a investir no controle de riscos. A obrigao estende a todas as empresas listadas na
Bolsa de New York, inclusive as brasileiras, so obrigadas pela Sox a informar anualmente a quais riscos esto
expostas e quais so as ferramentas de controle e gerenciamento utilizadas.
O Acordo de Basilia II, que tambm resultante de escndalos financeiros, no Brasil -resoluo 3380 do Bacen,
obriga a implementao da Gesto de Risco Operacional a todos os bancos brasileiros, com objetivo de atender o
acordo.
Por obrigao, ou no, o fato que o gerenciamento de risco se difunde entre as empresas de todo o mundo.
(rildo.santos@companyweb.com.br)
Gesto de Risco em TI
(rildo.santos@companyweb.com.br)
Introduo
Principais motivadores da Gesto de Risco
> Gesto da Segurana da Informao
> Controle Interno
Gesto de Risco em TI
Aumentar Eficincia
Operacional
Fraudes Contbeis
e Financeiras
Verso 2.0 | Rildo F Santos
Requisitos legais e
regulatrios
Estratgia do
Negcio
Gesto de Risco
SOX
Basel II
Segurana da
Informao
Ataque de
Hackers, Span,
Virus..
(rildo.santos@companyweb.com.br)
Escndalos
Financeiros
2006 Direitos Reservados
Gesto de Risco em TI
Exigncias:
Leis
Regulamentos
Governana
Corporativa
Transparncia
Equidade
Normas
Controles
Prestao de Conta
Voc
Voc pagaria
pagaria aa mais
mais pelas
pelas aes
aes de
de
quem
quem adota
adota prticas
prticas de
de governana
governana ??
-- 76%
76% disseram
disseram que
que sim
sim ee destas
destas aa
maioria
maioria afirmou
afirmou que
que pagaria
pagaria 24%
24% aa
mais
mais pelas
pelas aes.
aes.
Fonte:
Fonte: McKinsey
McKinsey com
com empresas
empresas da
da Amrica
Amrica Latina
Latina
Compliance2
tica
Transparncia = Credibilidade
Notas: 1 - Fonte: Instituto Brasileiro de Governana Corporativa (www.ibgc.org.br) | 2 - Cumprimento das Leis
Verso 2.0 | Rildo F Santos
(rildo.santos@companyweb.com.br)
Modelo de Governana
Governana Corporativa
Governana de Compliance
Governana de Negcio
Gesto de Risco em TI
Compulsria
Agncias
Reguladoras
Espontnea
NYSE BACEN
SOX
Basel II
Bovespa/CVM
N1
N2
Direcionadores Estratgicos
Operaes
Operaes
A transio para o capitalismo sustentvel ser uma das mais complexas revolues
que a nossa espcie j vivenciou. Estamos embarcando em uma revoluo cultural
global, que tem como epicentro a sustentabilidade. Ela tem a ver com valores, mercados,
transparncia, ciclos de vida de tecnologias e produtos e tenses entre o longo e o curto
prazo. E as empresas, mais que governos ou outras organizaes, estaro no comando
destas revolues. Um comando que se exercer pelos princpios da governana
corporativa. - John Elkington
Fonte: Governana Corporativa Fundamentos, Desenvolvimento e Tendncias Adriana Andrade e Jos Paschoal
(rildo.santos@companyweb.com.br)
Governana de TI
Gesto de Risco em TI
Governana
Corporativa
Transparncia
Equidade
Prestao de Conta
Compliance
tica
Guias
Governana
de TI
Cobit
ITIL
BSC
PMBok
Guia: COSO
www.itgovernance.org
COBIT - Control Objectives for Information and Related Technology www.isaca.org
Verso 2.0 | Rildo F Santos
(rildo.santos@companyweb.com.br)
Governana de Negcio
Gesto de Risco em TI
Compulsria
Agncias
Reguladoras
Espontnea
NYSE BACEN
SOX
Basel II
Bovespa/CVM
N1
N2
Direcionadores Estratgicos
Governana de TI
COBIT
Servios de TI
ITIL/ISO 20k
Projetos
PMI/PMBok
Fbrica SW
CMMi/RUP
OutSourcing
e-SCM/SAS70
Segurana
ISO 27001
(rildo.santos@companyweb.com.br)
10
Modelo de Governana
Modelo de Governana (Corporativa e TI):
Governana Corporativa
Governana de
Conformidade
Governana do
Negcios
TI - Melhores Prticas
Padres e Frameworks
Melhores Prticas
Padres e Frameworks
Fornecedores
Qualidade
Reg
ula
me
nta
TI
e
s
Segurana da
Informao
Risco &
Compliance
Governana de
COSO
Fbrica de
de Software
Processos
e Projetos
Cobit
Lei
se
Servios de TI
q
Re
itos
s
i
u
cio
g
e
oN
Gesto Estratgica
de TI
Gesto de Risco em TI
BSC
BSC-TI
ITIL /
ISO20000
CMMi
ISO17799/
ISO27001
SAS70 /
e-SCM
PMBok/PMI
COSO
ISO9001 /
Seis Sigma
Arquitetura de TI
Recursos
(rildo.santos@companyweb.com.br)
11
Governana de TI:
Objetivos:
- Simplificar/Democratizar as decises de TI
Gesto de Risco em TI
(rildo.santos@companyweb.com.br)
12
Introduo
Mudana de Viso
Ontem: Gesto de Segurana da Informao
Hoje: Gesto de Risco (Segurana da Informao + Controle Interno)
COSO
Gesto de Risco em TI
COBIT
Governana
Corporativa
Gesto de Risco de TI
Gesto da Segurana
da Informao
Controle Internos
Confidencialidade
Processos
Integridade
Evidncias
Disponibilidade
Guia de Auditoria
ISO 17799 /
ISO 27001
Governana
de TI
(rildo.santos@companyweb.com.br)
13
Gesto de Risco em TI
Introduo
Viso geral sobre Risco
- Definio
- Natureza do Risco
- Componentes
(rildo.santos@companyweb.com.br)
14
Introduo
Gesto de Riscos
Anlise/Avaliao
do Risco
Resposta
ao Risco
Risco
Mitigado
No Identificao
do Risco
Exposio
ao Risco
Ocorrncia
do evento
Materializao
do Risco
Gesto de Risco em TI
Identificao
do Risco
(rildo.santos@companyweb.com.br)
15
Gesto de Risco
Definio de Risco:
Risco qualquer evento que pode afetar a habilidade de empresa a alcanar seus objetivos.
Infra-estrutura:
Disponibilidade de bens
Capacidade dos bens
Acesso ao capital
Complexidade
Pessoal:
Capacidade dos empregados
Atividade fraudulenta
Sade e segurana
Processo:
Capacidade
Design
Execuo
Dependncias / fornecedores
Tecnologia:
Integridade de dados
Disponibilidade de dados
Disponibilidade de sistemas
Seleo de sistemas
Desenvolvimento
Alocao
Manuteno
Eventos Externos
Eventos Internos
Gesto de Risco em TI
Econmicos:
Disponibilidade de capital
Emisses de crdito,
inadimplncia
Concentrao
Liquidez
Mercados financeiros
Desemprego
Concorrncia
Fuses / aquisies
Meio Ambiente:
Emisses e dejetos
Energia
Desastres naturais
Desenvolvimento sustentvel
(rildo.santos@companyweb.com.br)
Polticos:
Mudanas de governo
Legislao
Poltica pblica
Regulamentos
Sociais:
Caractersticas demogrficas
Comportamento do consumidor
Privacidade
Terrorismo
Tecnolgicos:
Interrupes
Comrcio eletrnico
Dados externos
Tecnologias emergentes
2006 Direitos Reservados
16
Gesto de Risco
Natureza do Risco:
Gesto de Risco em TI
Risco de Crdito1: Que uma das partes no honre seus compromissos financeiros
Risco de Mercado: Relacionado ao retorno esperado de ativos e passivos, em
decorrncia de variaes em fatores como taxas de juros, de cmbio, ndices de inflao
e cotao de aes.
Risco Operacional: Relacionado manifestao de eventos que ocasionem a
interrupo dos negcios, erros, falhas, fraudes e omisses com impacto para os clientes
e instituies.
Risco de Subscrio: Risco oriundo de uma situao econmica adversa que contraria
tanto as expectativas da sociedade seguradora no momento da elaborao de sua poltica
de subscrio quanto as incertezas existentes na estimao das provises.
Risco Aturial: Relaciona-se s incertezas existentes tanto na definio da tbua
biomtrica e da taxa de juros, quanto na constituio das provises tcnicas (situao
econmica adversa diferente da expectativa da entidade
1 - O tema "risco operacional" evoluiu consideravelmente nos ltimos cinco anos. O termo "risco operacional" foi provavelmente mencionado
pela primeira vez depois do caso de falncia do Barings. Foi a partir da que o mercado financeiro se conscientizou de que esses riscos, at
ento ignorados, tinham o potencial de afetar consideravelmente os resultados das operaes e no podiam ser classificados como riscos de
mercado nem riscos de crdito
2 Conformidade com leis e regulamentaes
(rildo.santos@companyweb.com.br)
17
Gesto de Risco
Gesto de Risco um processo sistemtico que tem como objetivo
identificao, avaliao / analise, resposta (ao), comunicao e
monitoramento de riscos.
Gesto de Risco em TI
Comunicao
Identificao
Valor
Valor dos
dos Ativos
Ativos
(Assets)
(Assets)
Ameaas
Ameaas
(Threats)
(Threats)
Vulnerabilidades
Vulnerabilidades
(Vulnerabilities)
(Vulnerabilities)
Riscos
Riscos
Avaliao/Anlise
Contramedidas
(Countermeasures)
Resposta ao Risco
Monitoramento
Verso 2.0 | Rildo F Santos
(rildo.santos@companyweb.com.br)
18
Gesto de Risco em TI
Componentes
Verso 2.0 | Rildo F Santos
19
Gesto de Risco em TI
(rildo.santos@companyweb.com.br)
20
Gesto de Risco em TI
21
Gesto de Risco em TI
Pessoas:
Capacitao
e Motivao
Produtos:
Uso de ferramentas
de produtividade
Processos:
Gesto por
Processos
A Integrao das Pessoas, dos Processos e dos Produtos(Tecnologias & ferramentas) e
bom Plano de Comunicao aumentam a chance de sucesso da Gesto de Risco.
Verso 2.0 | Rildo F Santos
(rildo.santos@companyweb.com.br)
22
Gesto de Risco em TI
(rildo.santos@companyweb.com.br)
23
Gesto de Risco de TI
Gesto de Risco em TI
Vrus
Sistemas
(rildo.santos@companyweb.com.br)
24
Governana do
Negcios
q
Re
itos
s
i
u
cio
g
e
oN
Cobit
Lei
se
Governana de
COSO
Reg
ula
me
nta
TI
e
s
Segurana da Informao
Fornecedores
Qualidade
Fbrica de
de Software
Gesto de
Projetos
ISO17799/ ISO27001
Servios de TI
Gesto por
Processos
Gesto Estratgica
de TI
Gesto de Risco em TI
BSC
BSC-TI
ITIL /
ISO20000
CMMi
SAS70 /
e-SCM
BPM
PMBok/PMI
ISO9001 /
Seis Sigma
Arquitetura de TI
Recursos (Pessoas, Informao, Infra-estrutura, Aplicaes)
Verso 2.0 | Rildo F Santos
(rildo.santos@companyweb.com.br)
25
Gesto de Risco
Gesto de Risco um processo sistemtico que tem como objetivo
identificao, avaliao / analise, resposta (ao) comunicao,
monitoramento de riscos.
Gesto de Risco em TI
Comunicao
Identificao
Valor
Valor dos
dos Ativos
Ativos
(Assets)
(Assets)
Ameaas
Ameaas
(Threats)
(Threats)
Vulnerabilidades
Vulnerabilidades
(Vulnerabilities)
(Vulnerabilities)
Riscos
Riscos
Avaliao/Anlise
Contramedidas
(Countermeasures)
Resposta ao Risco
Monitoramento
Verso 2.0 | Rildo F Santos
(rildo.santos@companyweb.com.br)
26
Gesto de Risco em TI
Impacto
Nvel
Impacto Financeiro
3-Alto
3-Alto
3-Alto
3-Alto
Perda de ativos
2-Mdio
Multas e Penalidades
2-Mdio
1-Baixo
Advertncia/Notificao
1-Baixo
Probabilidade
Nvel
Alta
3-Alto
Mdia
2-Mdio
Baixa
1-Baixo
(rildo.santos@companyweb.com.br)
27
Probabilidade:
Gesto de Risco em TI
Exemplo:
No lanamento de um dado, um nmero par pode ocorrer
de 3 maneiras diferentes dentre 6 igualmente provveis,
portanto, P = 3/6 50%
Verso 2.0 | Rildo F Santos
(rildo.santos@companyweb.com.br)
28
Gesto de Risco
Gesto de Risco em TI
Alto
I
M
P
A
C
T
O
Compartilhar / Transferir
Aceitar
Controlar
Baixo
Probabilidade
(rildo.santos@companyweb.com.br)
Alto
2006 Direitos Reservados
29
Gesto de Risco
Mapa de Risco:
Gesto de Risco em TI
Alto
3
B1
I
M
P
A 2
C
T
O
C1
A4
B2
A2
Compartilhar / Transferir
A1
B1
A1
Aceitar
Baixo 0
C2
Controlar
2
Probabilidade
(rildo.santos@companyweb.com.br)
Alto
30
Gesto de Risco em TI
Ernest Hemingway
(rildo.santos@companyweb.com.br)
31
Cobit
Control
Control Objectives
Objectives for
for Information
Information and
and related
related Technology
Technology
Gesto de Risco em TI
Modelo de Governana de TI
Verso 2.0 | Rildo F Santos
(rildo.santos@companyweb.com.br)
32
Cobit
Aplicao
Control
Control Objectives
Objectives for
for Information
Information and
and related
related Technology
Technology
Governana de TI
Gesto de Risco em TI
Implantao PME1
Metodologia de
Implantao
Controle
Cobit
Compliance SOX
Auditoria de TI
Comparaes
e Atualizaes
Implementaion Guideline
(rildo.santos@companyweb.com.br)
33
Cobit
Control
Control Objectives
Objectives for
for Information
Information and
and related
related Technology
Technology
Gesto de Risco em TI
Gerenciamento de Risco
Medio de Performance
Acompanhamento e
monitoramento da
implantao da estratgia,
do andamento dos projetos,
da utilizao de recursos, do
desempenho dos processos
e da entrega dos servios,
utilizando medies,
indicadores de desempenho.
Gerenciamento de Recursos
(rildo.santos@companyweb.com.br)
34
Cobit
Control
Control Objectives
Objectives for
for Information
Information and
and related
related Technology
Technology
Gesto de Risco em TI
Objetivos de negcios e
Objetivos de Governana de TI
Informao
Informao
Eficincia
Eficcia
Confidencialidade
Integridade
Disponibilidade
Conformidade
Confiabilidade
Monitorar e
Avaliar
7- Critrios da
Informao
4 - Domnios
Planejar e
Organizar
Recursos de TI
Aplicaes
Informao
Infra-estrutura
Pessoas
Entregar e
Suporte
Verso 2.0 | Rildo F Santos
4- Recursos
Adquirir e
Implementar
(rildo.santos@companyweb.com.br)
35
Cobit
Control
Control Objectives
Objectives for
for Information
Information and
and related
related Technology
Technology
Entendendo o Cobit:
Todos os componentes so inter-relacionados fornecendo suporte a Governana de TI,
Gerenciamento de Servios , Controle e Auditoria.
Gesto de Risco em TI
Negcio
Negcio
Requisitos
KPI
KPI
Indicador de
Resultados
KGI
KGI
Metas
Metas das
das
Atividades
Atividades
Traduzindo
em
Implementados
por
or
Indicador de
Performance
Objetivos
Objetivos de
de
Controle
Controle
p
do
Modelo
Modelo
Maturidade
Maturidade
Controlados por
a
dit
Au
Nvel de
Maturidade
Realizado com
eficcia e eficincia
su
n
me
or
p
do
ra
Processos
de TI
Guia
Guia de
de
Auditoria
Auditoria
(rildo.santos@companyweb.com.br)
Prticas
Prticas de
de
Controle
Controle
36
Cobit
Control
Control Objectives
Objectives for
for Information
Information and
and related
related Technology
Technology
Gesto de Risco em TI
(rildo.santos@companyweb.com.br)
37
Cobit
Control
Control Objectives
Objectives for
for Information
Information and
and related
related Technology
Technology
Gesto de Risco em TI
Critrios da Informao:
Para satisfazer os objetivos de negcios as informaes devem estar em conformidade com
os seguintes critrios:
Requisitos de
Negcios
Requisitos de
Governana
requer
influncia
Processos
Processos
de
de TI
TI
Servios de
Informao
entrega
Informao
executa
Aplicaes
necessita
Pessoas
necessita
Infraestrutura
QoS
implica
Critrio
Critrio da
da
Informao
Informao
Arquitetura de TI
Qualidade:
Effectiveness (Eficcia) A informao deve ser relevante e pertinente aos processos
de negcios bem como ser entregue com temporalidade, corretude, consistncia e
usabilidade.
Efficiency (Eficincia) Informao deve ser fornecida com o uso de recursos da forma
mais produtiva e econmica
Verso 2.0 | Rildo F Santos
(rildo.santos@companyweb.com.br)
38
Cobit
Control
Control Objectives
Objectives for
for Information
Information and
and related
related Technology
Technology
Gesto de Risco em TI
Critrios da Informao:
Para satisfazer os objetivos de negcios as informaes devem estar em conformidade com
os seguintes critrios:
Segurana:
Confidentiality (Confidencialidade) A informao suscetvel deve ser protegida de
acesso no autorizado
Integrity (Integridade) Informao deve ser precisa e completa, bem como sua validade
deve estar em concordncia com o conjunto de valores e expectativas do negcio
Availability (Disponibilidade) Informao deve ser disponvel quando requerida pelo
processo de negcio agora e no futuro, e deste modo deve ser salvaguardada enquanto
Recurso
Fiducirio:
Compliance (Conformidade) Informao deve estar em conformidade com leis,
regulamentos, e arranjos contratuais dos quais os processos de negcios esto sujeitos
Reliability (Confiabilidade) - Informao deve ser provida de forma apropriada,
permitindo seu uso na operao da organizao, na publicao de relatrios
financeiros para seus usurios e rgos fiscalizadores, conforme leis e regulamentos
(rildo.santos@companyweb.com.br)
39
Cobit
Control
Control Objectives
Objectives for
for Information
Information and
and related
related Technology
Technology
Gesto de Risco em TI
Recursos:
Para atender os requisitos de negcio, a empresa deve ter recursos suficientes e
capacitados.
Recursos
Descrio
Pessoa
Aplicativos
Infra-estrutura
(instalaes)
Informao
(rildo.santos@companyweb.com.br)
40
Cobit
Control
Control Objectives
Objectives for
for Information
Information and
and related
related Technology
Technology
Nvel de Maturidade
Gesto de Risco em TI
No existe
Inicial
(catico)
< pior
O - Inexistente:
Otimizado Gerenciamento de processos
no so aplicados
(valor)
1 - Inicial: Processos so
Gerenciado
informais e desorganizados
(servio)
2 - Repetitivo Os processos
Definido
(pro-ativo)
so intuitivo e seguem um
Repetitivo
padro
(reativo)
3 Definido - Os processos
so formais, documentados e
comunicados e aplicados
4 - Gerenciado Processos
so monitorados e medidos
5 - Otimizado Melhores
prticas so seguidas e os
Tempo
Melhor > processos so automatizadas
aplicado o ciclo de melhoria
continua.
(rildo.santos@companyweb.com.br)
41
Cobit
Control
Control Objectives
Objectives for
for Information
Information and
and related
related Technology
Technology
O Cubo Cobit 3D
Processos de TI
Gesto de Risco em TI
Requisitos de Negcio
s
so
r
cu
e
R
(rildo.santos@companyweb.com.br)
42
Cobit
Control
Control Objectives
Objectives for
for Information
Information and
and related
related Technology
Technology
Planejamento e Organizao
P09 - Avaliar e Gerenciar riscos de TI
PO9
Gesto de Risco em TI
Descrio do Processo:
Uma framework (estrutura) da gerncia de risco criada e mantida. A framework documenta
um comum nvel acordado de Risco de TI, Estratgias do mitigao e Riscos Residuais. Todo
o impacto potencial nos objetivos da organizao causada por um evento no planejado
identificado, analisado e avaliado. As estratgias do mitigao do risco so adotadas para
minimizar o risco residual a um nvel aceitvel. O resultado da avaliao compreensvel s
partes interessadas e expressada em termos financeiros, para permitir que as partes
interessadas (stakeholders) de alinhe o risco ao nvel aceitvel de tolerncia.
reas da Governana de TI
Recursos
Critrios de Informao
Critrios
Critrios de
de
Informao
Informao
Processos
Processos TI
TI
(rildo.santos@companyweb.com.br)
Secundrio:
Eficcia e
Eficincia
Conformidade
Confiabilidade
Primrio:
Confidencialidade
Integridade
Disponibilidade
43
Cobit
Control
Control Objectives
Objectives for
for Information
Information and
and related
related Technology
Technology
Planejamento e Organizao
P09 - Avaliar e Gerenciar riscos de TI
PO9
Gesto de Risco em TI
Descrio do Processo:
Controle sobre o processo de TI:
Avaliar e Gerenciar os Risco de TI
Que satisfaz os requisitos de negcio para TI de:
Analisando e comunicando os risco de TI e seus potenciais impactos sobre os processos de
negcios e metas
Focando sobre:
Desenvolvimento de um Framework Gesto de Risco que integrado com negcio e
framework de gerenciamento de risco operacional, avaliao de risco, mitigao e
comunicao de risco residual
alcanado pela:
- Garantia que a gesto de risco completamente embutida na Gesto de Processos,
internamente e externamente e consistentemente aplicada
- Fazendo a avaliao de Risco
-Recomendando e comunicando planos de aes para remediar o risco
mensurado por:
% de Objetivos crticos cobertos pela avaliao de risco
% de Risco de TI identificado crticos com plano de ao desenvolvido
% de Plano de Ao da Gesto de Risco aprovado para implementao
Verso 2.0 | Rildo F Santos
(rildo.santos@companyweb.com.br)
44
Cobit
Control
Control Objectives
Objectives for
for Information
Information and
and related
related Technology
Technology
Planejamento e Organizao
P09 - Avaliar e Gerenciar riscos de TI
PO9
Objetivos de Controle:
Gesto de Risco em TI
(rildo.santos@companyweb.com.br)
45
Cobit
Control
Control Objectives
Objectives for
for Information
Information and
and related
related Technology
Technology
Planejamento e Organizao
P09 - Avaliar e Gerenciar riscos de TI
PO9
Objetivos de Controle:
Gesto de Risco em TI
(rildo.santos@companyweb.com.br)
46
Cobit
Control
Control Objectives
Objectives for
for Information
Information and
and related
related Technology
Technology
Planejamento e Organizao
P09 - Avaliar e Gerenciar riscos de TI
PO9
Guia de Gerenciamento:
Sadas
Gesto de Risco em TI
Entradas
(rildo.santos@companyweb.com.br)
47
Cobit
Control
Control Objectives
Objectives for
for Information
Information and
and related
related Technology
Technology
Planejamento e Organizao
P09 - Avaliar e Gerenciar riscos de TI
PO9
Gesto de Risco em TI
Guia de Gerenciamento:
(rildo.santos@companyweb.com.br)
48
Cobit
Control
Control Objectives
Objectives for
for Information
Information and
and related
related Technology
Technology
Planejamento e Organizao
P09 - Avaliar e Gerenciar riscos de TI
PO9
Gesto de Risco em TI
Modelo de Maturidade:
0 Inexistente, quando:
Avaliao de risco para processos e decises de negcios no ocorre. A empresa no considera os
impactos do negcio associados com vulnerabilidade de segurana e as incertezas de projeto de
desenvolvimento. Gesto de Risco no identificada como relevante para aquisio de solues de
TI e para entregar de servios de TI.
1 Inicia/Ad Hoc quando:
Os riscos de TI so considerado em uma maneira ad hoc. As avaliaes informais do risco do projeto
ocorrem como determinado por cada projeto. As avaliaes de risco so identificadas s vezes em uma
plano de projeto mas raramente atribudas aos gerentes especficos. Os riscos especficos relacionados,
tais como a segurana, a integridade e a disponibilidade (SID), so considerados ocasionalmente em uma
base de projeto-por-projeto. Os risco relacionado com TI afetam as operaes do dia-a-dia e so
raramente discutidos em reunies de gerncia. Onde os riscos foram considerados, o mitigao
inconsistente. H um entendimento emergente que os risco de TI importante e a necessidade para
considera-los.
2 Repetivivo, mas intuitivo, quando:
Um desenvolvimento de uma abordagem de avaliao de risco existe e implementada com discrio
pelo gerente de projeto. A gerncia de risco est geralmente em em nvel elevado e aplicada
tipicamente somente aos projetos principais ou em resposta aos problemas. Os processos do mitigao
do risco esto comeando ser executados onde os riscos so identificados
Verso 2.0 | Rildo F Santos
(rildo.santos@companyweb.com.br)
49
Cobit
Control
Control Objectives
Objectives for
for Information
Information and
and related
related Technology
Technology
Planejamento e Organizao
P09 - Avaliar e Gerenciar riscos de TI
PO9
Gesto de Risco em TI
Modelo de Maturidade:
3 Definido, quando:
Uma poltica de gerncia do risco da organizao define quando e como conduzir as avaliaes de risco.
A gesto de risco segue um processo definido que seja documentado. O treinamento de gesto de risco
est disponvel a todos os colaboradores. As decises para seguir o processo de gesto de risco e para
receber o treinamento so deixadas discrio individual. A metodologia para a avaliao do risco est
convencendo e assegura que os riscos chaves do negcio estejam identificados. Um processo para
mitigar os riscos chaves institudo uma vez que os riscos so identificados. As descries de trabalho
consideram responsabilidades da gesto de risco.
4 Controlado, mensurando quando:
A avaliao e a gesto do risco so procedimentos padres. As excees ao processo de gesto de risco
so relatadas pela gesto. Gerncia de risco uma responsabilidade snior do gerncia-nvel. O risco
avaliado e mitigado no nvel do projeto individual e tambm regularmente no que diz respeito todas as
operaes de TI. A gesto recomendada a todas as mudanas no negcio e no ambiente de TI, que
poderia afetar significativamente os cenrios-relacionados ao risco. A gesto pode monitorar a posio do
risco e informar as decises a respeito da exposio que disposto aceitar. Todos os riscos identificados
tm um proprietrio nomeado, e a gerncia snior e gesto determinam os nveis do risco que a
organizao tolerar. Gerncia desenvolve medidas padro para avaliar o risco e definir o risco/taxa de
retorno. Os oramentos da gesto para uma gerncia de risco operacional projetam-se em uma base
regular. Uma base de conhecimento da gesto de risco estabelecida e a parte dos processos da
gerncia de risco est comeando a ser automatizada. Gerncia considera estratgias do mitigao de
risco
Verso 2.0 | Rildo F Santos
(rildo.santos@companyweb.com.br)
50
Cobit
Control
Control Objectives
Objectives for
for Information
Information and
and related
related Technology
Technology
Planejamento e Organizao
P09 - Avaliar e Gerenciar riscos de TI
PO9
Gesto de Risco em TI
Modelo de Maturidade:
5 Otimizado, quando
A gesto de risco torna-se ao estgio onde estruturado, processo do organizao reforado e bem
controlado. As melhores prticas so aplicadas por toda a organizao. A captura, a anlise e o relatrio
de dados da gerncia de risco so automatizados. A orientao extrada dos lderes de campo, e
organizao faz avaliao para saber se existe experincias da troca nos grupos. A gesto de risco
integrada verdadeiramente com o negcio e as operaes de TI, ela bem aceita e envolve
extensivamente os usurios de servios de TI
A gesto identifica e age quando so tomadas decises de investimento sem considerao do plano de
gesto de risco. A gerncia avalia continuamente estratgias do mitigao de risco.
(rildo.santos@companyweb.com.br)
51
Comittee
Comittee of
of Sponsoring
Sponsoring Organizations
Organizations of
of the
the Treadway
Treadway Comission
Comission
Gesto de Risco em TI
COSO
(rildo.santos@companyweb.com.br)
52
COSO
Committee
Committee of
of Sponsoring
Sponsoring Organizations
Organizations of
of the
the Treadway
Treadway Comission
Comission
Gesto de Risco em TI
(rildo.santos@companyweb.com.br)
53
COSO
Committee
Committee of
of Sponsoring
Sponsoring Organizations
Organizations of
of the
the Treadway
Treadway Comission
Comission
Gesto de Risco em TI
(rildo.santos@companyweb.com.br)
54
COSO
Committee
Committee of
of Sponsoring
Sponsoring Organizations
Organizations of
of the
the Treadway
Treadway Comission
Comission
Gesto de Risco em TI
(rildo.santos@companyweb.com.br)
55
COSO
Committee
Committee of
of Sponsoring
Sponsoring Organizations
Organizations of
of the
the Treadway
Treadway Comission
Comission
Gesto de Risco em TI
O COSO propem uma reviso tcnica, chamada de ERM (Enterprise Risk Management Framework)
conhecida como COSO 2.
Existe um relacionamento direto entre os objetivos, que
uma organizao empenha-se em alcanar, e os
componentes do gerenciamento de riscos corporativos, que
representam aquilo que necessrio para o seu alcance.
Esse relacionamento apresentado em uma matriz
tridimensional em forma de cubo.
As quatro categorias de objetivos (estratgicos,
operacionais, de comunicao e conformidade) esto
representadas nas colunas verticais.
Os oito componentes nas linhas horizontais
e as unidades de uma organizao na terceira dimenso.
Cubo Coso
(rildo.santos@companyweb.com.br)
56
ITIL
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
Gesto de Risco em TI
Sobre a ITIL:
Biblioteca composta
por 5 livros
EXIN e ISEB
- Certificaes
Conjunto de melhores
prticas para Gesto
de Servios de TI
ITIL
ITIL
(rildo.santos@companyweb.com.br)
57
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
Gesto de Risco em TI
ITIL
(rildo.santos@companyweb.com.br)
58
ITIL
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
Gesto de
Disponibilidade
Gesto
Financeira de
Servios de TI
Gesto de
Continuidade
de Servios de TI
Usurios
Gerenciamento de Mudana
Central de
Servios
Gesto de
Incidentes
Gesto de
Problemas
(porta)
Gesto
de Liberao
Gerenciamento de Segurana
Entrega de Servios
Suporte aos Servios
Gesto de Risco em TI
Gesto de Configurao
(rildo.santos@companyweb.com.br)
59
ITIL
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
Gesto de
Disponibilidade
Gesto
Financeira de
Servios de TI
Gesto de
Continuidade
de Servios de TI
Usurios
Gerenciamento de Mudana
Central de
Servios
Gesto de
Incidentes
Gesto de
Problemas
(porta)
Gesto
de Liberao
Gerenciamento de Segurana
Entrega de Servios
Suporte aos Servios
Gesto de Risco em TI
Gesto de Configurao
(rildo.santos@companyweb.com.br)
60
ITIL
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
Gesto de Risco em TI
Gesto de
Incidentes
Adotar e
Adaptar
Gesto de
Configurao
Service
Desk
Usurios
Ciclo PDCA
Planejar Executar
Plan
DO
Agir
Act
Verificar
Check
Gesto de
Problema
SLA Monitoramento
RFC
Gesto SLM/SLA
Clientes
(negcios)
Gesto
Gesto de
de
Continuidade
Continuidade
Gesto
Gesto de
de
Disponibilidade
Disponibilidade
Gesto
Gesto de
de
Financeira
Financeira
Gesto
Gesto de
de
Capacidade
Capacidade
Gesto de
Mudana
Gesto de
Liberao
Base
Base de
de
Conhecimento
Conhecimento
(rildo.santos@companyweb.com.br)
61
ITIL
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
Gesto de Risco em TI
(rildo.santos@companyweb.com.br)
62
ITIL
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
Gesto de Risco em TI
Itens de Configurao
(rildo.santos@companyweb.com.br)
63
ITIL
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
Gesto de Risco em TI
Hardware
Software
IC
Documentao
Processos e procedimentos
Documentao tcnica
Diagramas/grficos
Contratos (SLA)
(rildo.santos@companyweb.com.br)
necessrio para
fornecer um servio
64
ITIL
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
Gesto de Risco em TI
Objetivo
(rildo.santos@companyweb.com.br)
65
ITIL
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
Gesto de Risco em TI
Justificativas
(rildo.santos@companyweb.com.br)
66
ITIL
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
Gesto de Risco em TI
Atividades
(rildo.santos@companyweb.com.br)
67
ITIL
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
Gesto de Risco em TI
Terminologia
(rildo.santos@companyweb.com.br)
68
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
Gesto de Risco em TI
ITIL
(rildo.santos@companyweb.com.br)
69
ITIL
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
Gesto de Risco em TI
Benefcios
(rildo.santos@companyweb.com.br)
70
ITIL
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
Gesto de Risco em TI
Incidentes X Problemas
Problema difere de incidente no objetivo, ou seja, enquanto a gerncia de incidente tem
como objetivo restaurar de forma mais rpida possvel os servios para os clientes, a
gerncia de problema tem que buscar a causa raiz do incidente, e sua conseqente
soluo e preveno.
Verso 2.0 | Rildo F Santos
(rildo.santos@companyweb.com.br)
71
ITIL
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
Gesto de Risco em TI
Gesto de Problemas:
Um Problema poder ser um Erro Conhecido (Known Error) quando a causa raiz
(root cause) tornar conhecida e uma Soluo de Contorno (work-around) ou
permanente for identificada e aplicada.
um ajuste temporrio para evitar que o negcio do cliente no fique parado ou com
baixa qualidade. No uma soluo permanente e sim uma soluo paliativa.
(rildo.santos@companyweb.com.br)
72
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
Gesto de Risco em TI
ITIL
(rildo.santos@companyweb.com.br)
73
ITIL
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
Gesto de Risco em TI
Infra-estrutura do Erro
Incidente
Problema
Infra-estrutura
do Erro
RDM (RFC)
Estrutura da
Resoluo
(rildo.santos@companyweb.com.br)
74
ITIL
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
Gesto de Risco em TI
Atividades
Suporte do
incidente
Problem
Control
Gerncia de
Problemas
Gerenciamento
Reativo
Error
Control
Gerenciamento
Pr-ativo
(rildo.santos@companyweb.com.br)
75
ITIL
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
Gesto de Risco em TI
(rildo.santos@companyweb.com.br)
76
ITIL
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
Problem Control
Gesto de Risco em TI
Identificao e registro
Classificao
Investigao e diagnstico
(rildo.santos@companyweb.com.br)
77
ITIL
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
Gesto de Risco em TI
(rildo.santos@companyweb.com.br)
78
ITIL
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
Ocorrncias
Gesto de Risco em TI
Diagrama de Pareto
40
35
30
25
20
15
10
5
0
Diagrama de Pareto
Client Memria
Client - SO
Causas
Verso 2.0 | Rildo F Santos
(rildo.santos@companyweb.com.br)
79
ITIL
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
Identificao e
registro
Gesto de Risco em TI
O processo de Controle do Erro, cobre o gerenciamento de erros conhecidos (know errors) at que
estes possam ser eliminados definitivamente, atravs de um processo de mudana acompanhado
pela gerncia de mudana.
Avaliao do Erro
Registro da Soluo
do Erro
Mudana implementada com sucesso
Fechamento
Verso 2.0 | Rildo F Santos
(rildo.santos@companyweb.com.br)
80
ITIL
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
Gesto de Risco em TI
Preveno de problemas
Monitorar a Gerncia de Mudanas
Disparar mudanas para combater:
Ocorrncia de incidentes
Repetio de incidentes
Identificao de possveis problemas:
Relatrios (anlise de tendncia)
Ferramentas de gerenciamento
(rildo.santos@companyweb.com.br)
81
ITIL
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
Relacionamento
Gesto de Risco em TI
Incident
Management
Configuration
Management
Capacity
Management
Availability
Management
Service Level
Management
informao
Problem
Management
Problem Control
Error Control
Pr-atividade
Informaes, Work-arounds
Registro
Banco de Dados
Problema
informao
RFC
RPI - Reviso de Ps-Implementao
(PIR - Post Implementation Review)
Change
Management
Verso 2.0 | Rildo F Santos
(rildo.santos@companyweb.com.br)
82
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
Gesto de Risco em TI
ITIL
(rildo.santos@companyweb.com.br)
83
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
Gesto de Risco em TI
ITIL
(rildo.santos@companyweb.com.br)
84
ITIL
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
Gesto de Risco em TI
(rildo.santos@companyweb.com.br)
85
ITIL
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
Gesto de Risco em TI
Justificativas
(rildo.santos@companyweb.com.br)
86
ITIL
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
Gesto de Risco em TI
Terminologia
(rildo.santos@companyweb.com.br)
87
ITIL
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
Gesto de Risco em TI
Atividades
(rildo.santos@companyweb.com.br)
88
ITIL
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
Gesto de Risco em TI
(rildo.santos@companyweb.com.br)
89
ITIL
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
Atividades
Recusa
Recusa
Monitoramento e
planejamento
Registro e
classifica
classificao
Aprova
Aprovao
Autoriza
Autorizao e
implementa
implementao
Avalia
Avaliao
RPI-Reviso de
Ps-Implementao *
Change Management
Gesto de Risco em TI
RFC
Constru
Construo
Testes
Implementa
Implementao
Gesto do
Projetos
Change
Management
Verso 2.0 | Rildo F Santos
Backout
(rildo.santos@companyweb.com.br)
90
ITIL
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
Gesto de Risco em TI
(rildo.santos@companyweb.com.br)
91
ITIL
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
Gesto de Risco em TI
(rildo.santos@companyweb.com.br)
92
ITIL
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
Gerente de Mudana
Gerente de Mudana
Incio
Gesto de Risco em TI
maior
Gerente de Mudana
significativo
menor
Gerente de Mudana
Gerente de Mudana
Circular a RFC
para a diretoria da
empresa
Circular a RFC
para o CAB
Aprovar/rejeitar a
mudana
(Financeiro / Tcnico /
Negcios)
Aprovar/rejeitar a
mudana
(Financeiro / Tcnico /
Negcios)
Gerente de Mudana
Fecha
Rever a mudana
Decidi o modelo e
a categoria
Defini a prioridade
inicial
Filtrar solicitao
Implementa a
mudana
usando o
modelo
apropriado
Aprovar/rejeitar e
agendar mudana;
Relatrio do plano
de ao para o
CAB
Construo Mudana
Construir a
mudana, plano de
Backout & plano de
testes
Gerente de Mudana
Coordenar a
implementao da
mudana
(rildo.santos@companyweb.com.br)
Testador
independente
Testa a mudana
93
ITIL
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
Mudana Urgente
Gerente de Mudana
Gerente de Mudana
Filtrar solicitaes
Definir a prioridade
inicial
Gerente de Mudana
Gesto de Risco em TI
Incio
Gerente de Mudana
Coordenar a
implementao da
mudana
Testador
independente
Testes urgentes
Gerente de Mudana
Garantir que os
registros esto
atualizados
Construo Mudana
Construir a mudana,
plano de Backout
& plano de testes
Gerente de Mudana
Chama o
CAB / EC
CAB / EC
Rapidamente faz
anlise de
impacto e a
urgncia
Fecha
Rever a mudana
(rildo.santos@companyweb.com.br)
94
ITIL
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
Relacionamentos
Gesto de Liberao (Release)
Relat
Relatrios &
audit
auditria
Configura
Configurao
Gesto de Risco em TI
Requisio de
Mudana
Avaliao
(assess)
Partes impactadas
Aprovao
Mudana
Implementao
Gesto de Configurao
Atualizao
Baseline,
Baseline, Libera
Liberao
RPIRPI-Reviso de
Ps-Implementa
Implementao*
Checar todos
registros
Atualizados
Fecha
Mudana
Fim
Verso 2.0 | Rildo F Santos
CMDB
Gesto de Mudana
(rildo.santos@companyweb.com.br)
95
ITIL
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
Gesto de Risco em TI
Indicadores
(rildo.santos@companyweb.com.br)
96
ITIL
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
Gesto de Risco em TI
Benefcios
(rildo.santos@companyweb.com.br)
97
ITIL
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
Gesto de Risco em TI
(rildo.santos@companyweb.com.br)
98
ITIL
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
Gesto de Risco em TI
(rildo.santos@companyweb.com.br)
99
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
Gesto de Risco em TI
ITIL
(rildo.santos@companyweb.com.br)
100
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
Gesto de Risco em TI
ITIL
(rildo.santos@companyweb.com.br)
101
ITIL
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
Gesto de Risco em TI
Terminologia
(rildo.santos@companyweb.com.br)
102
ITIL
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
Gesto de Risco em TI
(rildo.santos@companyweb.com.br)
Roll-out
103
ITIL
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
Gesto de Risco em TI
Armazenamento
Lgico
Depsitos
Fsicos
Distribuio
DSL
Proteo (BKP)
das Verses
autorizadas
Base para
Liberaes
Ligao
com o
CMDB
(rildo.santos@companyweb.com.br)
104
ITIL
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
Gesto de Risco em TI
IC
sobressalentes
(spares)
Detalhes de
construo e
componentes
DHS
rea segura
Para hardware
Especificaes
(rildo.santos@companyweb.com.br)
105
ITIL
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
Gesto de Risco em TI
No. da verso e
Liberao
(Release)
Freqncia da
Liberao
(Release)
Plano de back-out
Poltica de
Liberaes
(Releases)
Liberao
(Release)
de
Emergncia
Papis e
responsabilidade
Tipo de Liberao
(Release)
(ex: Delta)
(rildo.santos@companyweb.com.br)
106
ITIL
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
Atividades:
Gesto de Risco em TI
Ambiente
Ambiente Controlado
de teste
Desenvolvimento
Ambiente de
Produo
RELEASE MANAGEMENT
Poltica
Release
Planejamento
Release
Desenvol
-vimento
interno
ou
compra
software
Construo /
configura
-o
release
Testes
Aceite
Release
Distribuio
Roll-out Comunicao &
&
treinamento
plano
instalao
(rildo.santos@companyweb.com.br)
107
ITIL
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
CMDB
DSL
Ambiente
Ambientede
de
Desenvolvimento
Desenvolvimento
VV1.1a
1.1a
Fluxo
Gesto de Risco em TI
Ambientes
V 1.0
Registro
Release
RFC
Autorizada?
Gerenciamento
Gerenciamentoda
da
Construo
Construo
VV1.1
1.1dd
V 1.1
Construir
e
Testar o
Ambiente
Ambientede
deTeste
Teste
Software
Liberao
Liberao
de
de
Teste
Teste
Ambiente
Ambientede
deProduo
Produo
Autorizada?
Implantar
Implantar
(rildo.santos@companyweb.com.br)
..VV1.0
1.0operacional
operacionalna
naDSL.
DSL.
..Construo
autorizada.
Construo autorizada.
..VV1.1a
1.1a(baseada
(baseadana
naVV1.0)
1.0)
..No
confivel
em
No confivel emdesenvolvimento.
desenvolvimento.
..VV1.0
1.0operacional
operacionalna
naDSL.
DSL.
..VV1.1d
1.1dno
noconfivel
confivelem
emteste.
teste.
..VV1.0
1.0operacional
operacionalna
naDSL.
DSL.
..Liberada
Liberadaatravs
atravsda
daDSL
DSLpara
parateste
teste
da
daliberao
liberao(release)
(release)
..VV1.0
1.0operacional
operacionalna
naDSL
DSL
(atualizao
(atualizaoagendada).
agendada).
..VV1.1
1.1Confivel
Confivelconstruda
construdana
naDSL
DSL
..Autorizao
Autorizaopara
paraLiberao
Liberao
(Release).
(Release).
..VV1.1
1.1operacional
operacionaleetambm
tambmna
na
DSL
DSL
..VV1.0
1.0arquivada
arquivadana
naDSL
DSL
108
ITIL
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
Gesto de Risco em TI
Indicadores
(rildo.santos@companyweb.com.br)
109
ITIL
Melhores
Melhores Prticas
Prticas para
para Gerenciamento
Gerenciamento de
de Servios
Servios de
de TI
TI
Gesto de Risco em TI
Benefcios
(rildo.santos@companyweb.com.br)
110
PMBok
Gesto
Gesto de
de Projetos
Projetos
Gesto de Risco em TI
Gesto de Projetos:
PMBOK - A Guide to Project Management Body of Knowledge, publicado pela
PMI - Project Management Institute (SEI) .
O PMBok guia das melhores prticas e o conhecimento e da rea de
gerncia de projetos.
O que um projeto ?
Um projeto um esforo temporrio
empreendido para criar um produto, servio ou
resultado exclusivo.
Grupo de Processos
Iniciao
(rildo.santos@companyweb.com.br)
Planejamento
Controle
Execuo
Encerramento
111
PMBok
Gesto
Gesto de
de Projetos
Projetos
Gesto de Risco em TI
Descrio
Iniciao
Planejamento
A definio de objetivos e seleo das melhores opes se encaixam nessa categoria. Esses processos
so demorados mas no muito significativos para o sucesso do projeto
Execuo
Controle
Esse grupo envolve gerenciamento de escopo e utilizao de processos para manter o projeto alinhado
com os objetivos originais. Esse processo abrangem vrios acompanhamentos para garantir-se de que
tudo esteja dentro das restries definidas no inicio do projeto e no documento de autorizao (Project
Charter).
Encerramento
O processo de encerramento a concluso formal do projeto. Esse processo est ligado determinao
pelas partes interessadas de que o projeto cumpriu suas obrigaes como definido na declarao de
escopo.
(rildo.santos@companyweb.com.br)
112
PMBok
Gesto
Gesto de
de Projetos
Projetos
Gesto de Risco em TI
Descrio
Gerenciamento integrado de
projeto
Gerenciamento do escopo do
projeto
Gerenciamento de tempo do
projeto
Gerenciamento de qualidade
Gerenciamento de recursos
humanos do projeto
Gerenciamento de comunicao
do projeto
Gerenciamento de risco do
projeto
Gerenciamento de aquisio do
projeto
(rildo.santos@companyweb.com.br)
113
PMBok
Gesto
Gesto de
de Projetos
Projetos
Gesto de Risco em TI
(rildo.santos@companyweb.com.br)
114
PMBok
Gesto
Gesto de
de Projetos
Projetos
Gesto de Risco em TI
Escopo
Qualidade
Tempo
Custo
Problema
Risco
Aquisies
RH
Comunicao Integrao
(rildo.santos@companyweb.com.br)
115
PMBok
Gesto
Gesto de
de Projetos
Projetos
Gesto de Risco em TI
(rildo.santos@companyweb.com.br)
116
PMBok
Gesto
Gesto de
de Projetos
Projetos
Gesto de Risco
Anlise quantitativa de riscos e tcnicas de modelagem
Gesto de Risco em TI
(rildo.santos@companyweb.com.br)
117
PMBok
Gesto
Gesto de
de Projetos
Projetos
Gesto de Risco em TI
(rildo.santos@companyweb.com.br)
118
ISO 17799
Gesto
Gesto de
de Segurana
Segurana da
da Informao
Informao
Gesto de Risco em TI
"A informao um bem que, como outros, importantes bens de negciio, tem
valor para a organizao e conseqentemente necessita de ser sustentavelmente
protegida"
"A informao pode existir em diversas formas. Pode ser impressa ou escrita em
papel, guardada eletronicamente, transmitida por correio eletrnico,mostrada em
filme ou transmitida em conversas"
"Qualquer que senha a forma que a informao possua, o meio na qual
partilhada ou guardada, dever sempre ser apropriadamente protegida"
A importncia da informao:
> Bancos (valor patrimonial de clientes)
> Estado (defesa nacional)
> Produtos/Servios (segredos)
> Sade (registro mdicos - pronturio eletrnico)
> Modelo Financeiros (estratgia de negcios)
> Negcios na Bolsa de Valores (Vazamento de Informao)
...
Verso 2.0 | Rildo F Santos
(rildo.santos@companyweb.com.br)
119
ISO 17799
Gesto
Gesto de
de Segurana
Segurana da
da Informao
Informao
Principais Componentes:
Disponibilidade Acesso contnuo e ininterrupto. A informao deve estar disponvel para a pessoa
certa e no momento em que ela precisar.
Gesto de Risco em TI
Integridade Proteger a informao contra qualquer tipo de alterao sem a autorizao explcita do
autor da mesma
Confidencialidade Visa manter o sigilo, o segredo ou a privacidade das informaes, evitando que
pessoas, entidades ou programas no autorizados tenham acesso s mesmas.
Autenticidade - garante ao receptor da informao a origem informada. Assegura que o acesso
informao no possa ser realizado por terceiros em nome do receptor ou que se utilizem do nome do
originador para enviar informaes.
Objetivos:
Reduzir a probabilidade de ocorrncia de incidentes.
Minimizar os danos / perdas causados Organizao.
Recuperao dos danos em caso de incidente.
(rildo.santos@companyweb.com.br)
120
ISO 17799
Gesto
Gesto de
de Segurana
Segurana da
da Informao
Informao
Atitude de Segurana
Gesto de Risco em TI
Reativa
Resposta a incidentes;
Investigaes;
Aplicao de sanes.
z
Preventiva
z
z
z
z
Planejamento;
Normalizao;
Infra-estrutura segura;
Educao e
Treinamento;
Auditoria.
(rildo.santos@companyweb.com.br)
121
ISO 17999
Gesto
Gesto de
de Segurana
Segurana da
da Informao
Informao
Medidas de Segurana:
Gesto de Risco em TI
Poltica
Poltica de
de Segurana;
Segurana;
Poltica
Poltica de
de utilizao
utilizao da
da Internet
Internet ee
Correio
Correio Eletrnico;
Eletrnico;
Poltica
Poltica de
de instalao
instalao ee utilizao
utilizao de
de
softwares;
softwares;
Plano
Plano de
de Classificao
Classificao das
das
Informaes;
Informaes;
Auditoria;
Auditoria;
Anlise
Anlise de
de Riscos;
Riscos;
Anlise
Anlise de
de Vulnerabilidades;
Vulnerabilidades;
Anlise
Anlise da
da Poltica
Poltica de
de Backup
Backup //
Restore;
Restore;
Plano
Plano de
de Ao
Ao Operacional;
Operacional;
Plano
Plano de
de Contingncia;
Contingncia;
Capacitao
Capacitao Tcnica;
Tcnica;
Processo
Processo de
de Conscientizao
Conscientizao dos
dos
Usurios.
Usurios.
Medidas de Segurana:
Backups;
Backups;
Antivrus;
Antivrus;
Firewall;
Firewall;
Deteco
Deteco de
de Intruso
Intruso (IDS);
(IDS);
Servidor
Servidor Proxy;
Proxy;
Filtros
Filtros de
de Contedo;
Contedo;
Sistema
Sistema de
de Backup;
Backup;
Monitorao;
Monitorao;
Sistema
Sistema de
de Controle
Controle de
de Acesso;
Acesso;
Criptografia
Criptografia Forte;
Forte;
Certificao
Certificao Digital;
Digital;
Teste
Teste de
de Invaso;
Invaso;
Segurana
Segurana do
do acesso
acesso fsico
fsico aos
aos locais
locais
crticos
crticos
(rildo.santos@companyweb.com.br)
122
ISO 17799
Gesto
Gesto de
de Segurana
Segurana da
da Informao
Informao
Gesto de Risco em TI
Surgimento de Normas:
(rildo.santos@companyweb.com.br)
123
ISO 17799
Gesto
Gesto de
de Segurana
Segurana da
da Informao
Informao
Modelo de Implementao:
Definir
escopo
Gesto de Risco em TI
Compliance e
Certificao
Reviso
Documentao
Gap
Analyses
Monitorar
Compliance
Implantao da
ISO 17799
Treinamento
Avaliao de
Risco
Desenvolver
Procedimento
Desenvolver
Poltica
Inventrio
de Ativos
Objetivo de
Controle
Gesto de
Risco
(rildo.santos@companyweb.com.br)
124
ISO 17799
Gesto
Gesto de
de Segurana
Segurana da
da Informao
Informao
Surgimento de Normas:
Gesto de Risco em TI
Este esforo foi liderado pela "International Organization for Standardization (ISO). No
final do ano de 2000, o primeiro resultado desse esforo foi apresentado, que a norma
internacional de Segurana da Informao "ISO/IEC-17799:2000", a qual j possui uma
verso aplicada aos pases de lngua portuguesa, denominada "NBR ISO/IEC-17799 .
(rildo.santos@companyweb.com.br)
125
ISO 17799
Gesto
Gesto de
de Segurana
Segurana da
da Informao
Informao
Gesto de Risco em TI
1. Objetivo da norma
2. Termos e definies
3. Poltica de segurana
4. Segurana organizacional
5. Classificao e controle dos ativos
de informao
6. Segurana de pessoas
(rildo.santos@companyweb.com.br)
126
ISO 17799
Gesto
Gesto de
de Segurana
Segurana da
da Informao
Informao
Gesto de Risco em TI
Processo disciplinar formal: Deve haver um processo disciplinar formal para funcionrios que
violaram os procedimentos de segurana.
reas de segurana: prevenir acesso no autorizado, dano e interferncia nas instalaes fsicas.
Isso inclui: definir um permetro de segurana, controles de entrada fsica, etc
Segurana de equipamento: convm proteger equipamentos fisicamente de ameaas e perigos
ambientais. Isso inclui roubo, fogo, e outros perigos ambientais, proteo contra falta de energia,
segurana do cabeamento, definio de poltica de manuteno, proteo a equipamentos fora das
instalaes.
Controles gerais: Por exemplo proteo de tela com senha para evitar que informao fique
visvel em tela, deve-se ter uma poltica quanto a deixar papis na impressora por muito tempo,
etc.
(rildo.santos@companyweb.com.br)
127
ISO 17799
Gesto
Gesto de
de Segurana
Segurana da
da Informao
Informao
reas de segurana: prevenir acesso no autorizado, dano e interferncia nas instalaes fsicas.
Isso inclui: definir um permetro de segurana, controles de entrada fsica, etc
Gesto de Risco em TI
Controles gerais: Por exemplo proteo de tela com senha para evitar que informao fique
visvel em tela, deve-se ter uma poltica quanto a deixar papis na impressora por muito tempo,
etc.
Gerenciamento de acesso dos usurios:
Registro do usurio: ID nica para cada usurio, pedir assinatura em termo de
responsabilidade,
remover usurio assim que o funcionrio sair da empresa .
Gerenciamento de privilgios: Basicamente, se recomenda que usurios
tenham apenas os privilgios necessrios para fazer seu trabalho.
Gerenciamento de senhas: termo de responsabilidade deve afirmar que
senha secreta e no deve ser divulgada, senhas temporrias devem
funcionar apenas uma vez.
Anlise crtica dos direitos de acesso do usurio: deve-se analisar os direitos de acesso dos
usurios com freqncia de 6 meses ou menos.
(rildo.santos@companyweb.com.br)
128
ISO 17799
Gesto
Gesto de
de Segurana
Segurana da
da Informao
Informao
Gesto de Risco em TI
Identificao de usurios: a no ser em casos excepcionais cada usurio deve ter apenas
um ID. Considerar outras tecnologias de identificao e autenticao: smart cards,
autenticao biomtrica.
(rildo.santos@companyweb.com.br)
129
ISO 17799
Gesto
Gesto de
de Segurana
Segurana da
da Informao
Informao
Gesto de Risco em TI
(rildo.santos@companyweb.com.br)
130
ISO 17799
Gesto
Gesto de
de Segurana
Segurana da
da Informao
Informao
Gesto de Risco em TI
(rildo.santos@companyweb.com.br)
131
ISO 27001
Gesto
Gesto de
de Segurana
Segurana da
da Informao
Informao
Gesto de Risco em TI
Este conjunto de normas ISO/IEC so o mais importante referencial de Segurana da Informao. Estas
normas substituram a normas BS 7799-2 (referente Gesto de Segurana da informao) e ISO 17799
Cdigo de Boas Prticas da Gesto de Segurana da Informao). No Brasil, algumas empresas j
conseguiram obter o certificado ISO27001: Serasa, Banco Matone, Samarco, Mdulo Security, Unisys, Prodesp
e SERPRO.
Como resultado destas novas normas, a listagem das normas ISO de Segurana da Informao ser a
seguinte:
ISO 27000 - Vocabulrio de Gesto da Segurana da Informao (sem data de publicao).
ISO 27001 - Esta norma foi publicada em Outubro de 2005 e substituiu a norma BS 7799-2 para Certificao
de sistema de gesto de segurana da informao.
ISO 27002 - Este standard ir substituir em 2006/2007 o ISO 17799:2005 (Cdigo de Boas Prticas).
ISO 27003 - Este novo standard abordar a gesto de risco, contendo recomendaes para a definio e
implementao de um sistema de gesto de segurana da informao. Dever ser publicada em 2006.
ISO 27004 - Incidir sobre os mecanismos de mediao e de relatrio de um sistema de gesto de segurana
da informao. A sua publicao dever ocorrer em 2007.
ISO 27005 - Ser constituda por indicaes para implementao, monitorizao e melhoria contnua do
sistema de controles. O seu contedo dever ser idntico ao da norma BS 7799-3:2005 Information Security
Management Systems - Guidelines for Information Security Risk Management, a publicar em finais de 2005. A
publicada da norma como ISO est prevista para meados de 2007.
ISO 27006 - Dentro da srie 27000 a ltima norma ser referente recuperao e continuidade de negcio.
Este documento tem o ttulo provisrio de Guidelines for information and communications technology disaster
recovery services, no estando calendarizado a sua edio.
Verso 2.0 | Rildo F Santos
(rildo.santos@companyweb.com.br)
132
ISO 27001
Gesto
Gesto de
de Segurana
Segurana da
da Informao
Informao
Gesto de Risco em TI
As mudanas mais relevantes na migrao para norma ISO/IEC 27001 ocorreram na estrutura do SGSI (sistema de
gesto de segurana da informao), quando so destacados aspectos de auditoria interna e indicadores de desempenho
do sistema de gesto de segurana e no Anexo A que passou a ter na ISO/IEC 27001 11 sees, pois foi includa a seo
Gesto de Incidentes de Segurana da Informao:
5.Poltica de Segurana da Informao
6. Organizando a Segurana da Informao
7. Gesto de Ativos
8. Segurana em Recursos Humanos
9. Segurana Fsica e do Ambiente
10. Gerenciamento das Operaes e Comunicaes
(rildo.santos@companyweb.com.br)
133
Gesto de Risco em TI
SAS70
Verso 2.0 | Rildo F Santos
134
SAS70
Statement
Statement on
on Audit
Audit Standard
Standard 70
70
Gesto de Risco em TI
Empresa
Fornecedor A
Fornecedor B
uma norma editada pelo American Institute of Certified Public Accountants para a auditoria de
Service Organizations
Ela fornece um guia para auditores envolvidos no processo de auditoria dos controles da empresa de
servio que podem ser parte do sistema de informao da empresa auditada, no contexto de uma
auditoria de resultados e relatrios financeiros
Verso 2.0 | Rildo F Santos
(rildo.santos@companyweb.com.br)
135
Gesto de Risco em TI
5 Controle Internos:
- Definio
- Compliance com regulamentao
- Controle Eficientes
- Auditoria Interna
Verso 2.0 | Rildo F Santos
(rildo.santos@companyweb.com.br)
136
Controle Interno
Gesto de Risco em TI
Definio de Controle:
Polticas, procedimentos, atividades e mecanismos, desenvolvidos para
assegurar que os objetivos de negcios sejam atingidos e que eventos
indesejveis sejam prevenidos ou detectados e corrigidos.
Verso 2.0 | Rildo F Santos
(rildo.santos@companyweb.com.br)
137
Gesto de Risco em TI
Tipos de Controles:
AUTOMATIZADO - Controles executados por sistemas automatizados, no dependendo de
julgamentos pessoais. Para garantir sua consistncia, preciso e tempestividade, preciso
ter um sistema seguro e confivel. (Maior eficcia)
Periodicidade:
COM PERIODICIDADE DIVERSIFICADA (a cada evento, dirio, semanal, quinzenal, mensal,
trimestral, semestral, anual). (a periodicidade do controle deve ser compatvel com a
frequncia do incidncia dos eventos de risco cobertos pelo controle).
(rildo.santos@companyweb.com.br)
138
Controle Interno
Gesto de Risco em TI
(rildo.santos@companyweb.com.br)
139
Gesto de Risco em TI
(rildo.santos@companyweb.com.br)
140
Gesto de Risco em TI
(rildo.santos@companyweb.com.br)
141
Gesto de Risco em TI
A seo 404, exige que administrao da empresa produza o Internal Control Report
Financial (ICRF) como parte do informe anual.
O informe deve afirmar a responsabilidade da administrao em estabelecer e manter
procedimentos e uma estrutura adequada de controle interno para o informe financeiro.
O informe ainda precisa conter uma avaliao, na data do final do ano fiscal mais recente
da empresa, da efetividade dos procedimentos e da estrutura de controle interno do
emitente do informe financeiro
A firma de auditoria, auditoria externa, precisa atestar a avaliao de controle interno da
administrao.
A recomendao da SEC, utilizar o COSO como guia para implementar o Sistema de
Controle Interno (SCI)
(rildo.santos@companyweb.com.br)
142
Gesto de Risco em TI
Questo:
Para quais dos itens abaixo h o
maior risco de serem reportadas
esperado o maior volume de
fraquezas materiais
nos controles internos?
a) Tecnologia da Informao
b) Reconhecimento de receita
c) Gerenciamento do Imobilizado
d) Compras e contas a pagar
e) Impostos
f) Recursos Humanos
g) Tesouraria
h) Encerramento e apresentao das
demonstraes financeiras
i) Outros
a) Tecnologia da
Informao
b) Reconhecimento de
receita
7; 7%
4; 4%
0; 0%
c) Gerenciamento do
Imobilizado
7; 7%
d) Compras e contas a
pagar
2; 2%
4; 4%
e) Impostos
7; 7%
4; 4%
f) Recursos Humanos
65; 65%
g) Tesouraria
h) Encerramento e
apresentao das
demonstraes
financeiras
i) Outros
Nota:
Para 65%, h uma percepo de que a tecnologia da informao a que poder gerar um maior
volume de fraquezas materiais. Os demais itens estiveram restritos a uma faixa de 2% a 7%. A ttulo de
comparao, pesquisa similar realizada em 2005 teve como resultado uma votao de 57% para TI, o
que indica que esta preocupao no recente e se manteve no mesmo patamar.
Fonte: Sntese e Resultado da 9 mesa de debates - Sox Update e Avaliao do Ambiente de Controle (COSO) KPMG 2006/2007
(rildo.santos@companyweb.com.br)
143
Gesto de Risco em TI
(rildo.santos@companyweb.com.br)
144
Gesto de Risco em TI
Fonte: http://amanha.terra.com.br/edicoes/229/capa03.asp
(rildo.santos@companyweb.com.br)
145
Gesto de Risco em TI
Fonte: http://amanha.terra.com.br/edicoes/229/capa03.asp
(rildo.santos@companyweb.com.br)
146
Gesto de Risco em TI
18/01/2006
Geraldo Ferreira - Especialista em Segurana da Informao do Mdulo Security Lab
Publicada em 1995 e revisada em 1999, a AS/NZS 4360 uma norma Australiana / Neozelandesa
para gerenciamento de riscos que foi elaborada pela Standards Austrlia e Standards New Zealand
atravs do Comit de gesto de riscos (OB-007). uma norma genrica que fornece orientaes para
gerenciamento de riscos de qualquer natureza.
Ao contrrio dos padres de segurana existentes no mercado, que consideram risco como perigo ou
impacto negativo para as organizaes, a AS/NZS 4360 parte do princpio que a gesto de riscos tem
como finalidade o equilbrio entre as oportunidades de ganhos e a reduo de perdas. Considera risco
como "a exposio s conseqncias da incerteza ou como potenciais desvios do que foi planejado ou
do que esperado" e sua principal caracterstica avaliar considerando tanto os riscos com
resultados positivos (ganhos potencias) quanto os riscos com resultados negativos (perdas
potenciais), fornecendo uma viso nica no gerenciamento de riscos.
Para a AS/NZS 4360, a gesto de riscos envolve o estabelecimento de uma infra-estrutura e cultura
apropriadas e a aplicao de um mtodo lgico e sistemtico para estabelecer contextos, bem como
para identificar, analisar, avaliar, tratar, monitorar e comunicar os riscos associados a qualquer
atividade, funo ou processo, de modo a minimizar perdas e maximizar ganhos para as
organizaes.
As principais etapas do processo de gesto de riscos so:
Ilustrao 1: AS/NZS 4360:2004 - principais etapas
Fonte: http://www.modulo.com.br/checkuptool/artigo_14.htm
(rildo.santos@companyweb.com.br)
147
Gesto de Risco em TI
(rildo.santos@companyweb.com.br)
148
Gesto de Risco em TI
A ABNT ISO/IEC Guia 73 define 29 termos da Gesto de Riscos, que foram agrupados nas seguintes
categorias:
a) Termos bsicos;
b) Termos relacionados a pessoas e organizaes afetadas pelos riscos;
c) Termos relacionados anlise/avaliao de riscos; d) Termos relacionados ao tratamento e controle
de riscos.
Entretanto, as definies no foram elaboradas para cada rea de aplicao da Gesto de Riscos. Cada
uma delas procura ser genrica e a mais abrangente possvel. O contedo do guia muito mais que um
simples vocabulrio, pois permite aos usurios ter uma boa idia do que a Gesto de Riscos.
A expectativa do grupo de trabalho que elaborou o ISO Guide 73 de que profissionais e especialistas
das mais diversas reas, como, por exemplo, finanas, segurana, sade, e meio ambiente, consigam
se entender falando a mesma linguagem
(rildo.santos@companyweb.com.br)
149