palestra sobre gestão de riscos
TRANSCRIPT
Gerenciamento de RiscosCom foco em Tecnologia da Informação
Os riscos do ambiente corporativo e a relação com a área de TI
Guilherme Lopes Matsushita E-mail: [email protected]
• Formado em Análise de Sistemas pela FACCAT;• Pós-graduado em Governança de TI pelo MACKENZIE;• Profissional em Gestão de Projetos de TI;• Experiência há mais de 8 anos, participando de grandes
projetos de implantação, hard refresh e service desk;• Clientes de Projetos:
Porto Seguro TAM BRFoods Prodesp HSBC
Apresentação
Gerenciar riscos é uma questão de sobrevivência.
Exemplos de não consideração de riscos
Exemplos de não consideração de riscos
Exemplos de não consideração de riscos
Gestão de Riscos• Eventos• Fatores Influenciadores• Técnicas de Identificação
Gerenciamento de Riscos• Avaliação de Riscos• Resposta a Riscos• Atividades de Controle• Informação e Comunicação
Eventos na área de TI
Melhoria contínua
Tópicos abordados
Gestão de Riscos
o Evento:• Os eventos podem gerar impacto tanto negativo quanto
positivo ou ambos.
- Impacto negativo: RISCO- Impacto positivo: OPORTUNIDADE
• Situação em que há probabilidades, mais ou menos previsíveis de perda ou ganho;
• Probabilidade de ocorrência de um incidente (evento) combinada com as consequências (impactos) que ele causará;
Gestão de Riscos
o Fatores Influenciadores Externos e Internos• Econômicos: mercado, desemprego, concorrência,...• Ambientais: energia, desastres, sustentabilidade,...• Políticos: governo, leis, políticas públicas, regulamentos,...• Sociais: consumidor, terrorismo, atentados,...• Tecnológicos: disponibilidade, alocação, manutenção,...
o Técnicas de Identificação de Eventos• Avaliação do ambiente interno e externo• Estudos de probabilidades de ocorrências• Análise dos processos (cadeia de valor)• Entrevistas e enquetes
Gerenciamento de Riscos
• Avaliação de Riscos• Probabilidade de ocorrer o evento• Grau de impacto para o negócio
• Resposta a Riscos• Evitar: descontinuação das atividades que geram riscos;• Reduzir: reduzir a probabilidade ou o impacto dos riscos;• Compartilhar: transferência ou compartilhamento de uma
porção do risco (aquisição de seguro);• Aceitar: nenhuma medida é adotada;
Gerenciamento de Riscos
• Atividades de Controle• Preventivas: ações que antecipam os eventos;• Detectivas: feitas através de investigação;• Manuais: verificações manuais nos processos;• Computadorizadas: softwares de monitoramento;
• Informação e Comunicação• Banco de dados com informações de toda a organização;• Comunicações:
- Ação de compartilhar informações sobre o riscocom todas as partes envolvidas.
Eventos na área de TI
• Quais os principais riscos que podem ocorrer na área de TI?
• Estamos preparados para os riscos tecnológicos?
• Conseguimos restaurar nosso parque?
• Como nos prevenir de incidentes na área de TI?
Melhoria Contínua
• Como desenvolver melhoria contínua na área de TI
Algumas medidas podem ser utilizadas no próprio dia-a-dia.
Preservar os equipamentos para o melhor funcionamento.
Respeitar normas e regras internas.
Minimizar os riscos que conhecemos, e descobrir novos riscos;
Utilizar medidas de segurança.
Participar e envolver todos os funcionários.
Anexo
Evento Probabilidade Impacto RiscoQueda de energia 2 5 10
Falha no servidor 1 5 5
Queda das ações 4 5 20
Greve geral 2 3 6
Mudança de Site 1 4 4
Matriz de Riscos
Bibliografia
• Norma ISO Guide 73• Norma ISO 27005• Norma ISO 31000• Norma ISO 27001/ ISO 27002• ISACA – Risk IT - http://www.isaca.org/Knowledge-Center/Risk-IT-IT-Risk-Management/Pages/Risk-IT1.aspx• http://www.modulo.com.br• http://www.bsibrasil.com.br