GRC - Governando a TI (Governança), com sabedoria (Gestão de Riscos) e como todos esperam (Compliance)

Gustavo Lens MinarelliGerente de Projetos

CGEIT, ITIL, ISO27001 Lead Auditor, COBIT, ISMAS

gustavo.minarelli@gmail.com

• Quais são os mistérios que envolvem este novo tema?

• Quais os benefícios de cada uma destas disciplinas, tão importantes na Gestão Moderna dos investimentos em tecnologia nas organizações. • Como é possível fazer com que a estratégia de TI faça parte da estratégia de negócios? • Dicas para que os novos profissionais ganhem destaque nesta nova ordem do mercado, e para que os mais experientes aproveitem esta nova oportunidade!

Agenda

� O que é GRC, qual sua importância?

� O cenário nas empresas?

� Governança

� Gestão de Riscos

� Compliance

� Esta bem, como fazer GRC?

Como estamos hoje?

� A tendência (o mais fácil) é que nos agarremos a pedaços de informações sem uma análise do quadro maiorquadro maior

� Atacamos os meios, sem método e às vezes sem nem mesmo conhecer o problema.

As metas das organizações

Entregar valor para os negócios

Com um risco aceitável

Gerenciando com eficiênciaeficiência

Com uso eficiente de recursos

Como saber se esta tudo bem?

Quem define o que é valor são as partes interessadas

Quem aceita os riscos são as partes interessadas

Quem define o que é gerenciar corretamente são as corretamente são as partes interessadas

Quem dá os recursos necessários são as partes interessadas

Como a maior parte das organizações estão hoje?

Tentamos nos agarrar a metodologia isoladas, em busca de uma solução mágica para os

problemas das organizações

Frameworks, padrões, modelos, …

ISO/IEC 27001COBIT 4.1

ANS RN 114

BS 7799NIST 800-53

PCI-DSS

BASEL II

ISO 15408

eSCM

ISO Guide 73

ANS RN 114

COSO

BS 25999

ISO/IEC TR 13335

ITILISO DIS 31000

BS 25999:1 2006

ISO/IEC 17799

BC 3380

AS/NZS 4360

ISO 3WD 25700BITS

BC 2553

ISO 15408

HIPAA FISMA

ISO/IEC 27005

CMM

Assim, vivemos uma época em que esta sendo necessário gerenciar os negócios com um pé no acelerador

e outro no freio

Frameworks, padrões, modelos, …

....mas, acelerar continua sendo a prioridade das empresas

Uma constatação do óbvio

O método é um instrumento para resolver problemas e não para resolver problemas e não a solução em si

•Intelecto

Época de mudanças

Renascença

•Intelecto•Assimilação de conhecimento•Estruturas sociais•Educação•Arte•Ciência

.... e de conflitos

Oportunidade!

Ameaça!

O que é GRC?

Governança

Gestão de RiscosCompliance

“GRC é uma das principais prioridades dos negócios”

Uma nova onda

Objetivos de Controle de TI para atender Sarbanes Oxley

E agora?

Situação atual das organizações

Fonte: Open Compliance & Ethics Group

Ilhas organizacionaise funcionais

GRC: Situação desejavel

Fonte: Open Compliance & Ethics Group

IT

Benefícios do GRC

• Valor das ações

• Confiabilidade e o prestígio da organização

• Fraudes

• Perdas (ex: multas, incidentes operacionais)

• fidelidade dos acionistas, sócios, direção, colaboradores, parceiros , • fidelidade dos acionistas, sócios, direção, colaboradores, parceiros , fornecedores....

• Competitividade, melhorando a capacidade da organização tomar decisões rápidas e certeiras

• Melhora a comunicação na empresa, aumentando a confiança e a “boa vontade”

• Promove a sustentabilidade da empresa

- Transparência- Manutenção dos ideais com (Confiança e Integridade)- Responsabilidade da organização com a sociedade

E Você no GRC?

• Mude a forma de pensar

• Faça os outros mudarem também (seja um agente da mudança)

• Aproveite as oportunidade que estão surgindo• Aproveite as oportunidade que estão surgindo

• Ganhe respeito e prestígio

• Faça os deveres do dia-a-dia

• Mantenha equilíbrio entre detalhe (micro) e a estratégia (macro)

• Planeje-se seja realista no curto prazo e visionário no longo prazo

Governança

Governança de TI

Gestão de RiscosCompliance

Algumas referências

Modelo ISO 38500

Modelo ISO 38500

Governança de TIDefinição MIT

� “Especificação dos direitos decisórios e do framework de responsabilidades para estimular comportamentos desejáveis na área de TI.”

� Governança de TI trata de três questões:� Governança de TI trata de três questões:� Quais decisões devem ser tomadas para garantir a

gestão e o uso eficazes de TI?� Quem deve tomar estas decisões?� Como estas decisões serão tomadas e

monitoradas?

Governança

Governança de TIParalelo com Governança Corporativa

Conselho de AdministraçãoComitê de TI

CEO, CFO, Usuários

Gestão

CIO

Equipe de TI

ObjetivosObjetivos dedeNegóciosNegócios

ServiçosServiçosResultadosResultados

GovernançaAcionistasAssembléia

Conselho de Administração

Governança de TIParalelo com Governança Corporativa

Gestão

CEO

Organização

DirecionamentoDirecionamentoAlinhamentoAlinhamento

TransparênciaTransparênciaResultadosResultados

Referência para TI: Cobit 4

CobiT é reconhecido mundialmente e

adotado como referência por muitas adotado como referência por muitas

empresas como um modelo de

referência para a Governança de TI

Framework Cobit

� Auxilia na inclusão da estratégia de TI na estratégia de

negócios;

� Tem a missão de atender aos objetivos de negócio;

Organiza TI através de um modelo amplamente � Organiza TI através de um modelo amplamente

aceitável;

� Identifica recursos de TI necessários;

� Ajuda a definir objetivos de controle que precisam ser

implementados.

BUSINESS OBJECTIVES ANDGOVERNANCE OBJECTIVES

Efficiency

MONITORAND

EVALUATE

INFORMATION

ITRESOURCES

C O B I TF R A M E W O R K

Effectiveness

Confidentiality

IntegrityAvailability

Compliance

DS1 Define and manage service

ME1 Monitor and evaluate IT performance.

ME2 Monitor and evaluate internal control.

ME3 Ensure compliance with external requirements.

ME4 Provide IT governance.

PO1 Define a strategic IT plan.PO2 Define the information

architecture.PO3 Determine technological

direction.PO4 Define the IT processes,

organization and relationships.PO5 Manage the IT investment.PO6 Communicate management

aims and direction.PO7 Manage IT human resources.PO8 Manage quality.PO9 Assess and manage IT risks.

PLANAND

ORGANISE

Reliability

ApplicationsInformation

InfrastructurePeopleDELIVER

ANDSUPPORT

ACQUIREAND

IMPLEMENT

RESOURCESDS1 Define and manage service

levels.DS2 Manage third-party services.DS3 Manage performance and

capacity.DS4 Ensure continuous service.DS5 Ensure systems security.DS6 Identify and allocate costs.DS7 Educate and train users.DS8 Manage service desk and

incidents.DS9 Manage the configuration.DS10 Manage problems.DS11 Manage data.DS12 Manage the physical

environment.DS13 Manage operations.

PO9 Assess and manage IT risks.PO10 Manage projects.

AI1 Identify automated solutions.AI2 Acquire and maintain

application software.AI3 Acquire and maintain

technology infrastructure.AI4 Enable operation and use.AI5 Procure IT resources.AI6 Manage changes.AI7 Install and accredit solutions

and changes.

Cobit

EffectivenessEfficiencyConfidentialityIntegrityAvailabilityCompliance

IT Process

Business Requirement

Information Criteria

O Cobit é composto por 34 processos de TI,

sendo que um deles é específico para tratar da Avaliação e Gestão dos

Riscos de TI (PO9).

Além disso, para satisfazer os objetivos de negócios, a informação precisa atender critérios de controle, que o COBIT refere como requisitos do negócio para a informação.

Processes

Activities

Domains

IT Processes

ComplianceReliability

IT Resources

Applications

Information

Infrastructure

People

Business Requirement

Control Approach

Consideration• ……………………………• ……………………………• ……………………..……..

informação.

PO9 – Avaliação e Gestão de Riscos em TI

Objetivos de NegociosC

obiT 4

Balanced ScoreCard, Planejamento Estratégico

Integração de TI com os NegóciosVisão do CobiT

Objetivos de TI

Procesos de TI

CobiT

4

Maturidade

Business Goals X IT Goals

IT Goals X IT Processes

Governança

Gestão de Riscos

Gestão de RiscosCompliance

“efeito das incertezas

O que é risco?

“efeito das incertezas nos objetivos”

Risco: Ameaça ou Oportunidade

Falta um vínculo entre o conselho, diretoria e as unidades de negócio

Conselho ExecutivoExecutivo

Falta um vínculo entre o conselho, diretoria e as unidades de negócio

Conselho Executivo

Pessoas

Processos

Tecnologia

Unidades de Negócios

• Não relacionam a Gestão de Riscos aos objetivos estratégicos

• Não identificam ou avaliam completamente os

Oportunidades para o GRC

Conselhos de administração

• Não estabelece o tom para a gestão de riscos.

• Não entende a gestão de riscos como • Não identificam ou avaliam completamente os riscos relacionados a compliance, leis e regulamentações

• Permanecem identificando, apenas, riscos “técnicos”

• Só cumprem, não avaliam

• Só controlam, não avaliam

• Não entende a gestão de riscos como vantagem competitiva.

• Tem mínima participação nas discussões sobre risco da organização

• Possuem pouca visibilidade da Gestão de Riscos das organizações.

• Não comunica expectativas a respeito dos riscos para a gerencia executiva

Apetite ao risco

Quais são os riscos?

Conhecemos nossos riscos?

Quais são os riscos?

Ameaças de Fraude - Integridade

Ameaças de Sabotagem - Disponibilidade

O pior risco é não ter uma gestão

O pior risco...

ter uma gestão de riscos adequada

Quais são os riscos?

Análise de causa-efeito

Fonte: Wikipedia

Árvore de decisão

Riscos Vs Governança de TI (Cobit)

Business Objectives

for achievingevento

efeito

efeito

efeito

i

IT Resources and Processes

Information

Business Processes

Objectives

provide

to

achieving

Exemplo de riscos em TI (adaptado do COBIT)Exemplo de riscos em TI (adaptado do COBIT)

evento

efeito

COSO/ERMEnterprise Risk Management

- COSO/ERM – The Committee of Sponsoring Organizations / Enterprise Risk Management

- Framework de Gestão de Riscos Empresariais (ERM –Riscos Empresariais (ERM –Enterprise Risk Management)

- Concebido inicialmente para atender instituições financeiras através da avaliação de controle internos,

- Expandido para a gestão de riscos operacionais de qualquer natureza

COSO/ERM - Enterprise Risk Management

4 categorias de objetivos

8 componentes interrelacionados

ISO 31000

Desafio de uma linguagem comum

• ISO Guide 73: Risk Management - Vocabulary• ISO 31000: Risk Management – Principles and Guidelines on

implementation

ISO31000 – Gestão de Riscos

Processo de Gestão de Riscos: Aplicação sistemática de políticas de gestão, procedimentos e práticas para as atividades de comunicação, consulta, definição de contexto, identificação, análise, avaliação, tratamento, monitoração e análise crítica

referentes ao risco.

- Escassez de informações- Estatísticas inexistentes- Controles e indicadores inadequados ao

Principais desafios da Gestão de Riscos

- Controles e indicadores inadequados ao contexto dos eventos

- Dificuldades em estimar probabilidades e impacto

Governança

Compliance

Gestão de RiscosCompliance

Fé vs Confiança

Santo Isidoro de SevillaPatrono da Internet ISO 27001

vs

Serie ISO/IEC 27000

Norma Descrição Estágio

27000 Visão Geral e Vocabulário FDIS

27001

Requisitos de Sistemas de Gestão de Segurança

da Informação

Publicada

2005

27002

Código de prática para Gestão da Segurança da

Informação

Publicada

2005

Diretrizes para Implementação de Sistemas de

Série ISO 27000

27003

Diretrizes para Implementação de Sistemas de

Gestão de Segurança da Informação DIS

27004

Métricas de Sistemas de Gestão de Segurança da

Informação DIS

27005 Gestão de Riscos de Segurança da Informação

Publicada

2008

27006

Requisitos para Acreditação das Partes -

Sistemas de Gestão de Segurança da Informação

Publicada

2007

27007

Diretrizes para auditar Sistemas de Gestão de

Segurança da Informação WD

Adoção da ISO27001 no mundo

Pag.62

ISO/IEC 27005 Gestão de Riscospara Segurança da Informação

Pag.63

Visão Integrada

COBIT

COSO

ISO 9000

ISO 17799

ITILO QUÊ COMO

Escopo de cobertura Fonte: Introductory COBITPresentation - ISACA

COBIT e outros frameworks

65

Sarbanes-Oxley Act (SOX)

Fonte: Revista CIO

Por exemplo: ISO 27001 e SOX

67

Por exemplo: Basilea IIEventos de Risco Operacionais e CobiT

68

Por exemplo:

Cartão de Crédito – Padrão de Segurança

Payment Card Industry - Data Security Standard

www.pcisecuritystandards.org/

Motivadores

(Gazeta do Povo) Quadrilha presa lucrava R$ 20 milhõ es por mês com cartões clonadoshttp://portal.rpc.com.br/gazetadopovo/vidaecidadania /conteudo.phtml?id=818455

Como integrar tudo isso?

71

PROCESSOS DE NEGÓCIO

SISTEMAS CHAVE

PROGRAMA DE COMPLIANCE

INVENTARIAR ANALIZAR RISCO AVALIAR RISCO TRATAR RISCOS

CULTURA ORGANIZACIONAL

• Estabelecer políticas e objetivos claros• Implementar e auditar políticas, responsabilidades, processos e procedimentos• Implementar correções e ações preventivas, mantendo a conformidade• Evitar retrabalho, realizando ações integradas para analisar as conformidades

As metas das organizações

Entregar valor para os negócios

Com um risco aceitável

Gerenciando com eficiênciaeficiência

Com uso eficiente de recursos

Como saber se esta tudo bem?

Quem define o que é valor são as partes interessadas

Quem aceita os riscos são as partes interessadas

Quem define o que é gerenciar corretamente são as corretamente são as partes interessadas

Quem dá os recursos necessários são as partes interessadas

Deixe de lado o papel de “Cavaleiro do Apocalípse, pense em 360º

Comprometimento

• GRC afeta toda a organização (TI e Não-TI)• O sucesso de um programa estruturado de GRC depende do

comprometimento do alto escalão (governança)• Não basta só o comprometimento, mas é necessário também o

envolvimento das principais áreas envolvidas (governança)envolvimento das principais áreas envolvidas (governança)

• Uma das formas de começar é:• Coletar métricas sobre as não conformidades (compliance)• Identificar benefícios gerais para os negócios (risco)• Identificar e quantificar o Risco das não conformidades para o negócio

(risco)• Quais as potenciais perdas que serão evitadas (risco)?• Quais os principais ganhos que as melhorias proporcionaram?! (risco)

Comprometimento

• Envolva clientes e fornecedores na sua iniciativa, elas também são interessadas em ajudá-lo a promover a iniciativa na sua organização

• Uma consultoria (opinião isenta) poderá ajudá-lo no • Uma consultoria (opinião isenta) poderá ajudá-lo no esforço de conscientização interno

• Estabeleça um fórum e um comitê de acompanhamento do programa de conformidade

• Evite a tentação de assumir o papel de “mensageiro do apocalipse”

Mude o foco

• Atingimos 150 controles implementados de 599 possíveis

• .......

• Estamos protegendo nossos clientes• Estamos protegendo nossos clientes• Estamos mantendo a operação da nossa organização• Reduzimos a fraudes com cartão de crédito!• Estamos garantindo a rentabilidade dos nossos negócios

Se o seu problema for apenas atingir o “compliance” terá dificuldades de vender o seu projeto para a sua organização

Mude o foco

A decisão final é sempre da alta gerência

A menos que sejam subsidiados de informação lógica e racional sobre o porque eles precisam assumir uma determinada direção,

eles não assumirão

Auxilie o seu executivo a comparar o (até agora) seu problema com outros problemas que estão na agenda da empresa

Você poderá até conseguir investimentos apenas com o argumento de “should be compliance” mas

será o suficiente para investir em 10 cadeados para laptops

Foque nas oportunidades

• Ganhos financeiros com a otimização dos processo

• Criação de um diferencial competitivo• Criação de um diferencial competitivo• Aumento das vendas• Valorização da marca• ....

Ex: Compliance com PCI

Quando uma empresa tem dados confidenciais roubados sofreimediatamente impactos…….

• Financeiros – Multas, ressarcimento• Código Civil - sanções legais• Código Civil - sanções legais• Perda de credibilidade / Reputação / Imagem• Redução de valor de suas ações

• Perda de mercado- Os clientes NÃO COMPRAM se não se sentirem seguros

• Redução no valor de seus serviços - Os cliente pagam mais por transações seguras!

Lembre-se que GRC significa INTEGRAÇÃO

• Ganhe parceria de outros projetos na sua organização• Não reinvente a roda• Aproveite controles já existentes, você não precisa ter um controle

diferente para cada FRAMEWORK existente no mercado• Invista na parceria com outras áreas de controle ou auditoria • Invista na parceria com outras áreas de controle ou auditoria

interna da organização que tenham objetivos semelhantes aos seus

Entenda como você está

0 1 2

Repetitivo/ Intuitivo

3 4 5

InexistenteInicial/Ad Hoc Definido

Gerenciado yMedido Optimizado

83

Verificar conformidade com as regulamentaçõesas regulamentações

ex: Cobit Vs Sox

Feito com:

Analisar os riscos para osobjetivos dos negócios

IT Goals Vs IT Processes Vs Business Goals

Feito com:

Analisar diferenças entre o estado atual e o desejado e implementar práticas de controle

MejorarAlta

Crit

icid

ade

Alta

ObservarAnalisarpossiveldesperdício

Maturidade

Baja Alta

Baj

a

Crit

icid

ade

Baja Alta

Baj

aMaturidade

Implementando GRC – “Quick Wins”

Gestão de Riscos

Gestão de Continuidadedos Negocios

Governança

Requisitos Legais e Regulatórios

Implementação de Políticas

Workflow e Painel de Controle (Dashboard)

Gap Analysis(Cobit, ISO 27000,

BS 25999, ...)

Negócios/ Visão Executiva / Processos

Lembre-se: TI é parte integral da estratégica

de negócio

Ativos

Sistemas / Serviços

GRC - Governando a TI (Governança), com sabedoria (Gestão de Riscos) e como todos esperam (Compliance)

Gustavo Lens MinarelliGerente de Projetos

CGEIT, ITIL, ISO27001 Lead Auditor, COBIT, ISMAS

gustavo.minarelli@gmail.com

• Quais são os mistérios que envolvem este novo tema?

• Quais os benefícios de cada uma destas disciplinas, tão importantes na Gestão Moderna dos investimentos em tecnologia nas organizações. • Como é possível fazer com que a estratégia de TI faça parte da estratégia de negócios? • Dicas para que os novos profissionais ganhem destaque nesta nova ordem do mercado, e para que os mais experientes aproveitem esta nova oportunidade!