2011 ®copyright. jeferson d’addario, cbcp, mbci, crisc business continuity & security senior...

2011 ®Copyright. www.grc-inter.com2011 ®Copyright. www.grc-inter.com

Jeferson D’Addario, CBCP, MBCI, CRISC

Business Continuity & Security Senior Consultant

[email protected]

www.twitter.com/jefebrasil

www.daryus.com.br

www.twitter.com/daryusbr

Continuidade muito além dos planos! - Obtendo os melhores resultadosContinuidade muito além dos planos! - Obtendo os melhores resultados

2011 ®Copyright. www.grc-inter.com

• Fundada em 2005

• Empresa 100% nacional

• Unidades de Negócios: Consultoria e Educação

• Consultoria: Referência em Continuidade de Negócios, Segurança da Informação e Gestão de Riscos

• Educação: Parceria exclusiva com DRII desde 2005, parceira oficial do EXIN e da ISACA, possui desde cursos de especialização até pós-graduações.

• Eventos renomados e exclusivos...

Quem somos?


Tendências 2011 - 2012

1- CLOUD + Virtualização + SaaS

2- Vírus, worms e pragas virtuais

3- Multiconteúdo para multiusuários

4- Continuidade de Negócios virou necessidade

5- O dinheiro poderá vir até mesmo dos bancos

6- Controles internos mais interativos e pervasivos

✓

✓

✓

✓

✓

✓


Tendência mundial

Copyright © 2007. DARYUS® Strategic Risk Consulting. BRASIL. July 2007 Restrito. www.daryus.com.br – Avenida Paulista, 1009 – 11o. Andar – cj 1102 - São Paulo – SP – +55 11 3285-6539

“Risk management is a multi-disciplinary field and covers a large and overlapping

range of business areas.”Fonte: BSI 2007. Business Continuity & Risk

“ A gestão de riscos é um campo multi-disciplinar e abrange uma vasta gama e sobreposição de áreas de

negócio. "


ResponsabilidadeSocial

Corporativa

Segurançada

Informação

GovernançaCorporativa e

deTI

Gestão de riscos

Segurança, Saúdee Meio Ambiente

sustentatibilidade

Continuidade de

Negócios

Leis eRegulamentações

ISO 26001NBR 16001

ISO 27001ISO 27002ISO 27005Cobit DS.5

ISO 38500

ISO 31000

ISO 14001OHSAS 18001

BS 25999-1 BS 25999-2BS 25777-1Cobit DS.4

Leis eRegulamentações

Visão holística da gestão de riscos- Inteligência de riscos, uma tendência mundial.


GCN no Brasil


% de investimento em PCN no Brasil

Fonte: 2a. Pesquisa nacional sobre PCN DARYUS 2009-2010


Motivadores do PCN no Brasil




% de Plano de Recuperação de TI implementados



Participação da Alta Administração no PCN



Impactos


Valor de Mercado – CASO TAM 3054

• No dia 17 de Julho de 2007 com o acidente da TAM vôo 3054• As ações tiveram uma constante queda,• No terceiro dia após o desastre as ações caíram quase 20%, amargando uma redução R$

1,116 bilhão no valor de mercado.

12

Fonte: Artigo Correlação Entre Incidente/Desastre e Valor de Mercado da Empresa, por Alexandre Silveira Pupo 1 Danilo Yoshio Suiama 2 Germano Packer 3 Thomaz Fischer Levy 4


• Em 26 de setembro de 2006, as ações da empresa sofreram uma queda onde os menores valores foram registrados no mês de Dezembro de 2006;

• Os resultados da GOL só não foram piores porque existia um plano de ação para o tratamento de incidentes de foi colocado em prática.

13

Fonte: Artigo Correlação Entre Incidente/Desastre e Valor de Mercado da Empresa, por Alexandre Silveira Pupo 1 Danilo Yoshio Suiama 2 Germano Packer 3 Thomaz Fischer Levy 4

Valor de Mercado – CASO GOL 1907


Amazon Cloud Downtime. As nuvens também caem!

7,8% no preço da ação da empresa. Cálculos aproximados estimam 51.400 dólares perdidos por minuto, ou cerca de US $ 10 milhões de dólares para cada período de 3 horas.


“...os seis prédios que cercam o edifício da Eletrobrás-RJ foram interditados pela Defesa Civil...”


Estragos e mortes- Rio de Janeiro entre os dias 5 e 6 de abril - 182 mortos, mais de 100 feridos;- O Serviço de Meteorologia do Rio registrou no período o maior índice pluviométrico da cidade em mais de 40 anos: 288 mm.

16


Obtendo os melhores resultados


Diretrizes Gerais de PCN:

1. Garantir a VIDA das pessoas;

2. MINIMIZAR os impactos e garantir a continuidade das funções críticas;

3. Proteger a IMAGEM da organização;

4. Gestão de Continuidade é uma disciplina/domínio de Gestão de Riscos ESTRATÉGICOS

5. Uma POLÍTICA de GCN precisa ser estabelecida

6. Um processo CONTÍNUO precisa ser implementado e mantido na organização

Consciência + Regras = Resultados


Fundamentos

Critérios para o Sucesso

Envolvimento direto da Alta Administração

O Plano deve permear toda a organização, em todos os seus níveis hirárquicos.

Construir inicialmente os planos de ação de alto nível.

Integrar a outros sistemas de gestão e processos.

Limitar o tamanho do Plano (menos é mais!).


Resposta a Incidentes IMP (Incident Management Plan)

Cenário Descrição Líder de Crise Conseqüência Acionar

Nível 4 Queda de Aeronave com vítimas fatais

Diretor Técnico

Porta-voz=Presidente

Catastrófico impacto a imagem e prováveis perdas financeiras

PGC – nível 4 PCO – 014 PCOM – 004

Nível 3 Queda de Aeronave sem vítimas fatais

Diretor Técnico

Porta-voz= Presidente

Grave impacto a imagem e prováveis perdas financeiras

PGC – Nível 3 PCO – 013 PCOM – 003

Nível 2 Sistema de Check-in fora do ar

Diretor de Operações

Porta-voz

Atrasos e reclamaçõesEventual reembolso

PGC – Nível 2 PCO – 012 PRD – Sist Check-in PCOM – 002

Nível 1 Problemas em aeroportos (externo)

Diretor de Operações

Porta-voz

Atrasos e reclamações

PGC – Nível 1 PCO – 011 PCOM – 001


21


22


23


Muito [email protected] | www.twitter.com/jefebrasil

www.twitter.com/daryusbr

2011 ®copyright. jeferson d’addario, cbcp, mbci, crisc business continuity & security senior...

Documents