SlideShare une entreprise Scribd logo

Governancia de TI risc

Télécharger en tant que PPTX, PDF
A
alcinoaraujo

Este documento descreve um framework para gestão de riscos de TI em uma universidade. Apresenta princípios gerais de gestão de risco de TI e descreve processos para avaliação, resposta e monitoramento de riscos, incluindo riscos de governança, avaliação de riscos, e resposta a riscos. O objetivo é garantir que os riscos associados às TI sejam adequadamente identificados, analisados e tratados para apoiar os objetivos de negócio da universidade.

Business
1  sur  25
UNIVERSIDADE EDUARDO MONDLANE FACULDADE DE CIÊNCIAS DEPARTAMENTO DE MATEMÁTICA E INFORMÁTICA Curso de Mestrado em Informática GOVERNO DE TI Out/14 – Nov/14
Risco 2 1. Princípios de geral 2. Risco de Governança Avaliação do risco Resposta ao risco
3 P r i n c í p i o s g e r a l
P r i n c í p i o s g e r a l 4 1. Ligação entre os risco de TI e os objectivos de negócio: 2. Alinhar o processo de gestão de risco de TI ao ERM da organização 3. Gerir riscos de TI de acordo com a relação custo/benefício 4. Promover uma aberta comunicação sobre o risco de TI 5. Comprometimento da gestão de topo 6. Promoção da melhoria contínua como parte da actividade diária
Framework risco 5
Risco de Governança 6 Objectivo: Garantir que as práticas de gestão de risco de TI fazem parte dos processos organizacionais, permitindo que a organização encontre a melhor relação de risco/retorno. Métricas  A percentagem de redução de risco associado à utilização das TI nos processos críticos de negócio;  Percentagem de funções de gestão de risco que têm formação específica em técnicas de gestão de risco. Processos  RG1 – Definir e implementar uma visão comum de risco;  RG2 – Integrar com o ERM da organização;  RG3 – Tomar decisões com base no risco.
RG1 - Definir e implementar uma 7 visão comum de risco Objectivo: Garantir que as actividades de gestão de risco estão afinadas e alinhadas com os limites aceitáveis e com a tolerância da gestão da organização para perdas associadas às TI’s. Actividades  RG1.1 – Efectuar uma análise de risco da organização (através de workshops com a gestão; ajudar os gestores a perceber o impacto do risco de TI no negócio, através de cenários; fazer uma abordagem Top-Down a identificar os principais activos de TI que suportam o negócio, etc.)  RG1.2 – Propor limites de tolerância ao risco de TI (exprimir o limite nas mesmas medidas dos objectivos de negócio em causa);  RG1.3 – Aprovar a tolerância de risco de TI;  RG1.4 – Alinhar a política de risco de TI (transpor o apetite e a tolerância ao risco numa política de risco de TI, rever
RG2 – Integrar com o ERM da 8 organização Objectivo: Integrar as operações e a estratégia de gestão de risco de TI com os processos de tomada de gestão de risco, feitas ao nível da organização. Actividades  RG2.1 – Definir e manter a cadeia de responsabilidades pela gestão de risco de TI (definir indicadores de performance e um processo de reporte; definir objectivos de performance, etc.)  RG2.2 – Alinhar a estratégia de risco de TI com a de negócio;  RG2.3 – Adaptar as práticas de gestão de risco de TI às da organização;  RG2.4 – Dotar a gestão de risco de TI com os recursos necessários (serão necessários recursos a nível do negócio e das TI’s; dotar os colaboradores de formação específica; documentar os processos de gestão de risco de TI; considerar a adopção de aplicações informáticas para apoio na gestão de risco, etc.);  RG2.5 – Avaliar de forma independente a gestão de risco de TI (obter uma avaliação independente sobre a performance das actividades de gestão de risco de TI).
RG3 – Tomar decisões com base 9 no risco Objectivo  Garantir que as decisões são tomadas em plena consciência das oportunidades e consequências da dependência da tecnologia adoptada. Actividades  RG3.1 – Obter o patrocínio da gestão para as análises de risco de TI (treinar os decisores na abordagem proposta de análise de risco; demonstrar as mais valias da análise de risco no processo de decisão, etc.)  RG3.2 – Aprovar as análise de risco de TI (garantir que o relatório de análise de risco tem a informação suficiente para a sua compreensão);  RG3.3 – Incluir aspectos de TI no processo de decisão estratégica da organização (ser proactivo e identificar aspectos de risco sobre decisões que ainda estão por tomar);  RG3.4 – Aceitar o risco de TI (de acordo com o nível de risco aceite);  RG3.5 – Priorizar as respostas ao risco de TI (começar por aquelas que têm maior impacto na redução do risco).
Avaliação do risco 10 Objectivo Garantir que todos os riscos e oportunidades associadas às Tecnologias de Informação são devidamente identificadas, analisadas e apresentadas em linguagem de negócio. Métricas O impacto acumulado de eventos e incidentes tecnológicos não identificados no processo de gestão de risco de TI. Processos  RE1 – Capturar informação;  RE2 – Analisar o risco;  RE3 – Manter um perfil de risco.
RE1 - Recolher informação 11 Objectivo Identificar informação relevante que permita uma efectiva identificação, análise e reporte do risco associado às Tecnologias de Informação. Actividades  RE1.1 – Definir e manter um modelo de recolha, classificação e análise de informação de risco de TI (ex. ameaças, vulnerabilidades, eventos de perda) sobre diversas categorias de risco;  RE1.2 – Recolher informação directamente sobre o ambiente operativo;  RE1.3 – Recolher informação sobre eventos de risco que tenham, ou possam ter, impacto em qualquer das categorias de risco;  RE1.4 – Identificar os factores de risco (determinar quais as condições existentes para potenciar o evento de perda).
12 Recolher informação A recolha de informação pode ser feita através de diversas metodologias:  Entrevistas;  Questionários;  Workshops;  Observação;  Testes.
Categorias de Risco 13 Risco de estratégia: possibilidade da estratégia prosseguida e das políticas definidas na área dos sistemas de informação se revelarem desajustadas relativamente às actividades desenvolvidas; Risco de flexibilidade: incapacidade de adaptar os sistemas de informação e a sua funcionalidade a novas necessidades tempestivamente; Risco de acesso: probabilidade de ocorrem acessos não autorizados ou inapropriados aos sistemas de informação; Risco de integridade: probabilidade de a informação produzida pelos sistemas ser incorrecta, incompleta, inconsistente ou extemporânea; Risco de continuidade: probabilidade de ocorrência de falhas nos sistemas, com impacto na disponibilidade e recuperação da informação.
RE2 - Analisar o risco 14 Objectivo  Desenvolver informação útil para suportar as decisões que levem em consideração os factores de risco. Actividades  RE2.1 – Definir o âmbito de cobertura da análise de risco (Decidir sobre a cobertura, profundidade e o esforço a aplicar na análise de risco. Mapear os principais factores de risco com os processos de negócio considerados mais críticos);  RE2.2 – Estimar o risco (Dentro do âmbito de cobertura da análise de risco, estimar a frequência e magnitude de perda ou ganho associado aos cenários de risco de TI; Estimar o maior valor de perda possível; Avaliar os controlos e o seu efeito na frequência ou magnitude do impacto e factores de risco aplicáveis. Estimar o risco residual e compara-lo com a tolerância ao risco e identificar necessidades de acções de resposta ao risco.);  RE2.3 – Identificar as respostas ao risco (Identificar as opções de resposta ao risco disponíveis, tais como evitar, reduzir/mitigar, transferir/partilhar, ou aceitar. Documentar os racionais e os trade-offs de entre cada uma das opções. Identificar os custos e benefícios associados.);  RE2.4 – Rever a análise de risco (Efectuar uma revisão dos resultados da análise risco antes de a enviar para a gestão de topo para decisão. Confirmar se a análise está bem documentada e alinhada com os procedimentos da organização. Rever as bases de cálculo das estimativas de probabilidades de perdas).
Avaliação do risco - Cenários de risco 15 Duas abordagens a utilizar em conjunto:  Top-Down – inicia com os objectivos de negócio e segue a análise até aos mais prováveis cenários de risco de TI, dada a presença de TI nos processos de negócio.  Botton-Up – listam-se cenários genéricos que materializem riscos mais concretos.
Cenários de risco 16
RE3 - Manter um perfil de risco 17 Objectivo Manter um inventário actualizado das características dos riscos (frequência e impactos prováveis), dos recursos de TI e dos controlos, tal como são conhecidos no contexto do negócio. Actividades  RE3.1 – Mapear os recursos de TI aos processos de negócio (Entender a dependência do negócio nos recursos de TI);  RE3.2 – Definir a criticidade dos recursos de TI para o negócio (Perceber quais o recursos de TI que são críticos; Fazer uma abordagem Top-Down até às componentes físicas);  RE3.3 – Perceber a capacidade Tecnológica (Perceber se, em condições normais, os controlos são capazes de manter o risco dentro dos valores aceites pela organização);  RE3.4 – Actualizar as componentes da análise de cenários (Rever os valores dos componentes utilizados nos cenários de risco e ajustar de acordo a realidade observada);  RE3.5 – Manter um registo do risco de TI (manter atualizado o perfil de risco da organização); RE3.6 – Desenvolver KRI’s (Desenhar métricas ou indicadores que tenham a
Matriz de riscos 18  Anexo excel
Resposta ao risco 19 Objectivo Garantir que os eventos e as oportunidades associadas ao risco de TI, são devidamente tratados, de forma económica e alinhada com as prioridades de negócio. Métricas O impacto acumulado dos incidentes ou eventos de risco, antecipados pela avaliação de risco e ainda não tratados pelo processo de resposta de riscos. Processos  RR1 – Articular o risco;  RR2 – Gerir o risco;  RR3 – Reagir aos eventos.
Resposta ao risco RR1 - Articular o risco 20 Objectivo Garantir a disponibilidade e tempestividade da informação associada ao risco e às oportunidades de TI, permitindo desta forma que a gestão implemente as medidas necessárias para responder ao risco. Actividades  RR1.1 – Comunicar o resultado das análises de risco (reportar em formato utilizável pelo processo de tomada de decisão; comunicar de forma clara no contexto de retorno do risco; quando possível incluir probabilidades de ganho ou perda, pior cenário e cenário mais provável).  RR1.2 – Reportar as actividades de gestão do risco de TI e estado de conformidade (responder às necessidades de informação de risco dos diversos stakeholders – ex. administração, comité de risco, funções de controlo, gestão. Incluir eficácia e eficiência dos controlos, acções de melhoria, eventos e incidentes).  RR1.3 – Interpretar eventos de TI identificados por terceiros (rever os resultados e eventos específicos feitos por terceiros – ex. Auditoria interna, garantia da qualidade, etc., mapear estes eventos ao perfil de risco e aos controlos falhados).  RR1.4 – Identificar oportunidades associadas às TI (de forma regular, considerar o nível de risco das TI, se estiver abaixo do apetite ao risco, identificar oportunidades e assumir mais risco para obter mais retorno).
RR2 - Gerir o risco 21 Objectivo  Garantir que as actividades de alavancagem das oportunidades e de redução do risco até ao nível de tolerância, são geridas como um portfólio. Actividades  RR2.1 Inventariar controlos (para todas as áreas de risco, inventariar os controlos existentes; classificar os controlos e associa-los a riscos específicos ou agregações de risco; desenhar testes para os controlos; identificar procedimentos e tecnologia para monitorizar a sua capacidade operativa).  RR2.2 Monitorizar o alinhamento entre as operações e os níveis toleráveis de risco (garantir que as áreas de negócio aceitam operar dentro dos níveis de risco definidos; monitorizar a performance dos controlos; para os riscos principais; testar o desenho e a eficácia dos controlos associados).  RR2.3 Responder a novos riscos e oportunidades (iniciar projectos que venham a reduzir a frequência ou magnitude de eventos e complementar com projectos que potenciem componentes estratégicas do negócio).  RR2.4 Implementar controlos (desenvolver novos controlos e ajustar os já existentes; testar o controlo antes de confiar no mesmo; inventariar o novo controlo e mapeá-lo com os procedimentos de monitorização).  RR2.5 Reportar progressos do plano de risco tecnológico (monitorizar os planos de acção, garantindo a eficácia das medidas propostas).
Key Risk Indicators 22  São métricas capazes de demonstrar que a organização está exposta a um determinado risco e que por sua vez, este pode exceder o apetite ao risco.  São específicos da organização para o qual foram definidos.
RR3 - Reagir aos eventos 23 Objectivo Garantir que as medidas para alavancar as oportunidades ou limitar a frequência e magnitude de um evento relacionado com as TI’s são atempada e efectivamente aplicadas. Actividades  RR3.1 – Planos de reposta a incidentes (preparar para a materialização das ameaças através de planos que documentem o que fazer em caso de ocorrência).  RR3.2 – Monitorizar o risco de TI (monitorizar o ambiente de controlo e avaliar quando um controlo atinge os seus limites, categorizar incidentes e comparar as exposições reais com os níveis aceites. Comunicar os impactos no negócio aos decisores).  RR3.3 – Iniciar a resposta ao incidente (tomar acção para minimizar o impacto do incidente; identificar a categoria do incidente e seguir o plano de resposta ao incidente; informar os stakeholders e partes afectadas).  RR3.4 Comunicar as lições aprendidas (rever eventos oportunidades passadas; perceber as razões da falha; identificar eventos semelhantes e avaliar se foram tomadas medidas correctivas).
Prioritização e resposta ao risco 24 Evitar o risco Evitar significa abandonar as actividades ou condições que representem risco. Evitar o risco aplica-se quando nenhuma outra resposta ao risco é adequada. Como por exemplo:  Não existe uma resposta económica que consiga reduzir a frequência ou o impacto até ao níveis do apetite de risco definido;  O risco não pode ser evitado ou transferido;  O risco é inaceitável para a gestão de topo. Reduzir o risco/mitigação Redução do risco significa tomar medidas que detectem o risco, seguidas de medidas com a capacidade de reduzir a sua frequência e/ou impacto. As formas mais comuns de mitigar o Risco são:  Fortalecer as práticas de gestão de risco;  Introduzir um conjunto de medidas de controlo.
Prioritização e resposta ao risco 25  Partilha/transferência do risco Partilhar significa reduzir a frequência ou impacto do risco através da transferência ou partilha de uma parte do risco. As formas mais comuns de partilha ou transferência do risco passam pela aplicação de um seguro ou pelo outsourcing. Estas técnicas não aliviam o risco da organização, mas permitem a utilização de recursos de outra organização no apoio à gestão do risco e reduzem o seu impacto financeiro.  Aceitação do risco A aceitação significa que não serão tomadas acções relativamente a um determinado risco e o seu impacto financeiro é aceite. É diferente de ignorar o risco, significa que o mesmo é conhecido, e que as decisões são tomadas tendo conhecimento do mesmo. A aceitação do risco de TI deverá ser feita unicamente pelos responsáveis dos processos de negócio, com o apoio dos responsáveis pelo TI, e devidamente comunicada à gestão de topo.

Recommandé

Um método de gestão de riscos empregando a norma AS-NZS4360
Um método de gestão de riscos empregando a norma AS-NZS4360Um método de gestão de riscos empregando a norma AS-NZS4360
Um método de gestão de riscos empregando a norma AS-NZS4360Tadeu Marcos Fortes Leite
 
Analise de risco
Analise de riscoAnalise de risco
Analise de riscohrlima7
 
Aula03
Aula03Aula03
Aula03paulopcc
 
Aula 2 - Gestão de Riscos
Aula 2 - Gestão de RiscosAula 2 - Gestão de Riscos
Aula 2 - Gestão de RiscosCarlos Henrique Martins da Silva
 
ISO 27001 -3
ISO 27001 -3 ISO 27001 -3
ISO 27001 -3 jcfarit
 
Gestão de Riscos e Continuidade de Negócios
Gestão de Riscos e Continuidade de NegóciosGestão de Riscos e Continuidade de Negócios
Gestão de Riscos e Continuidade de NegóciosAlvaro Gulliver
 
Gestão de Riscos Corporativos 2018
Gestão de Riscos Corporativos 2018Gestão de Riscos Corporativos 2018
Gestão de Riscos Corporativos 2018Rodrigo Dantas, PMP, Msc
 
Mapeamento de áreas de risco a inundação no Estado de São Paulo
Mapeamento de áreas de risco a inundação no Estado de São PauloMapeamento de áreas de risco a inundação no Estado de São Paulo
Mapeamento de áreas de risco a inundação no Estado de São PauloInstituto de Pesquisas Ambientais
 

Recommandé

Um método de gestão de riscos empregando a norma AS-NZS4360
Um método de gestão de riscos empregando a norma AS-NZS4360Um método de gestão de riscos empregando a norma AS-NZS4360
Um método de gestão de riscos empregando a norma AS-NZS4360Tadeu Marcos Fortes Leite
 
Analise de risco
Analise de riscoAnalise de risco
Analise de riscohrlima7
 
Aula03
Aula03Aula03
Aula03paulopcc
 
Aula 2 - Gestão de Riscos
Aula 2 - Gestão de RiscosAula 2 - Gestão de Riscos
Aula 2 - Gestão de RiscosCarlos Henrique Martins da Silva
 
ISO 27001 -3
ISO 27001 -3 ISO 27001 -3
ISO 27001 -3 jcfarit
 
Gestão de Riscos e Continuidade de Negócios
Gestão de Riscos e Continuidade de NegóciosGestão de Riscos e Continuidade de Negócios
Gestão de Riscos e Continuidade de NegóciosAlvaro Gulliver
 
Gestão de Riscos Corporativos 2018
Gestão de Riscos Corporativos 2018Gestão de Riscos Corporativos 2018
Gestão de Riscos Corporativos 2018Rodrigo Dantas, PMP, Msc
 
Mapeamento de áreas de risco a inundação no Estado de São Paulo
Mapeamento de áreas de risco a inundação no Estado de São PauloMapeamento de áreas de risco a inundação no Estado de São Paulo
Mapeamento de áreas de risco a inundação no Estado de São PauloInstituto de Pesquisas Ambientais
 
Segurança da Informação com Windows Server
Segurança da Informação com Windows ServerSegurança da Informação com Windows Server
Segurança da Informação com Windows ServerGuilherme Lima
 
Palestra
PalestraPalestra
Palestraguest95b6c3
 
Whitepaper dtp-directors-managing-risk-pt
Whitepaper dtp-directors-managing-risk-ptWhitepaper dtp-directors-managing-risk-pt
Whitepaper dtp-directors-managing-risk-ptLafaiete Alves Ferreira Netto
 
Curso Plano de Continuidade de Negocios
Curso Plano de Continuidade de NegociosCurso Plano de Continuidade de Negocios
Curso Plano de Continuidade de NegociosGrupo Treinar
 
Implementação de um programa de segurança da informação
Implementação de um programa de segurança da informaçãoImplementação de um programa de segurança da informação
Implementação de um programa de segurança da informaçãoAlexandre Lima
 
Aula 2 -Análise de Riscos (1).pdf
Aula 2 -Análise de Riscos (1).pdfAula 2 -Análise de Riscos (1).pdf
Aula 2 -Análise de Riscos (1).pdfssuser1c1fba1
 
Curso Plano de Continuidade de Negocios
Curso Plano de Continuidade de NegociosCurso Plano de Continuidade de Negocios
Curso Plano de Continuidade de NegociosGrupo Treinar
 
Aula 101217070257-phpapp02
Aula 101217070257-phpapp02Aula 101217070257-phpapp02
Aula 101217070257-phpapp02asbgrodrigo
 
Gestão de riscos
Gestão de riscosGestão de riscos
Gestão de riscosJoao Telles Corrêa Filho
 
Certificacao iso 27001
Certificacao iso 27001Certificacao iso 27001
Certificacao iso 27001Andre Verdugal
 
AVALIAÇÃO DE RISCOS EM UMA EMPRESA DE GRANDE PORTE DO NORTE CATARINENSE UTILI...
AVALIAÇÃO DE RISCOS EM UMA EMPRESA DE GRANDE PORTE DO NORTE CATARINENSE UTILI...AVALIAÇÃO DE RISCOS EM UMA EMPRESA DE GRANDE PORTE DO NORTE CATARINENSE UTILI...
AVALIAÇÃO DE RISCOS EM UMA EMPRESA DE GRANDE PORTE DO NORTE CATARINENSE UTILI...Lucas de Oliveira Nass
 
Analise_processos_com_foco_em_Riscos
Analise_processos_com_foco_em_RiscosAnalise_processos_com_foco_em_Riscos
Analise_processos_com_foco_em_RiscosVitor Flisch Cavalanti
 
Lecture 3 :: Análise e Gestão de Risco
Lecture 3 :: Análise e Gestão de RiscoLecture 3 :: Análise e Gestão de Risco
Lecture 3 :: Análise e Gestão de RiscoRogerio P C do Nascimento
 
Tema 3 Os Riscos e Oportunidades 2022.docx
Tema 3 Os Riscos e Oportunidades 2022.docxTema 3 Os Riscos e Oportunidades 2022.docx
Tema 3 Os Riscos e Oportunidades 2022.docxLichucha
 
Gerenciamento de Riscos
Gerenciamento de RiscosGerenciamento de Riscos
Gerenciamento de RiscosAdeildo Caboclo
 
Palestra sobre Gestão de Riscos
Palestra sobre Gestão de RiscosPalestra sobre Gestão de Riscos
Palestra sobre Gestão de RiscosGLM Consultoria
 
Si segurança e privacidade (1Sem2014)
Si segurança e privacidade (1Sem2014)Si segurança e privacidade (1Sem2014)
Si segurança e privacidade (1Sem2014)Pedro Garcia
 
Gerenciamento de riscos
Gerenciamento de riscosGerenciamento de riscos
Gerenciamento de riscosPaulo Junior
 
Eletrobras politica de-gestao-de-riscos
Eletrobras politica de-gestao-de-riscosEletrobras politica de-gestao-de-riscos
Eletrobras politica de-gestao-de-riscosQualikadi Assessoria Técnica
 
Gerência de Riscos Para certificação MPS-BR
Gerência de Riscos Para certificação MPS-BRGerência de Riscos Para certificação MPS-BR
Gerência de Riscos Para certificação MPS-BRelliando dias
 
Conferência SC 24 | O custo real de uma operação
Conferência SC 24 | O custo real de uma operaçãoConferência SC 24 | O custo real de uma operação
Conferência SC 24 | O custo real de uma operaçãoE-Commerce Brasil
 
Conferência SC 24 | Gestão logística para redução de custos e fidelização
Conferência SC 24 | Gestão logística para redução de custos e fidelizaçãoConferência SC 24 | Gestão logística para redução de custos e fidelização
Conferência SC 24 | Gestão logística para redução de custos e fidelizaçãoE-Commerce Brasil
 

Contenu connexe

Similaire à Governancia de TI risc

Segurança da Informação com Windows Server
Segurança da Informação com Windows ServerSegurança da Informação com Windows Server
Segurança da Informação com Windows ServerGuilherme Lima
 
Curso Plano de Continuidade de Negocios
Curso Plano de Continuidade de NegociosCurso Plano de Continuidade de Negocios
Curso Plano de Continuidade de NegociosGrupo Treinar
 
Implementação de um programa de segurança da informação
Implementação de um programa de segurança da informaçãoImplementação de um programa de segurança da informação
Implementação de um programa de segurança da informaçãoAlexandre Lima
 
Aula 2 -Análise de Riscos (1).pdf
Aula 2 -Análise de Riscos (1).pdfAula 2 -Análise de Riscos (1).pdf
Aula 2 -Análise de Riscos (1).pdfssuser1c1fba1
 
Curso Plano de Continuidade de Negocios
Curso Plano de Continuidade de NegociosCurso Plano de Continuidade de Negocios
Curso Plano de Continuidade de NegociosGrupo Treinar
 
Aula 101217070257-phpapp02
Aula 101217070257-phpapp02Aula 101217070257-phpapp02
Aula 101217070257-phpapp02asbgrodrigo
 
Certificacao iso 27001
Certificacao iso 27001Certificacao iso 27001
Certificacao iso 27001Andre Verdugal
 
AVALIAÇÃO DE RISCOS EM UMA EMPRESA DE GRANDE PORTE DO NORTE CATARINENSE UTILI...
AVALIAÇÃO DE RISCOS EM UMA EMPRESA DE GRANDE PORTE DO NORTE CATARINENSE UTILI...AVALIAÇÃO DE RISCOS EM UMA EMPRESA DE GRANDE PORTE DO NORTE CATARINENSE UTILI...
AVALIAÇÃO DE RISCOS EM UMA EMPRESA DE GRANDE PORTE DO NORTE CATARINENSE UTILI...Lucas de Oliveira Nass
 
Tema 3 Os Riscos e Oportunidades 2022.docx
Tema 3 Os Riscos e Oportunidades 2022.docxTema 3 Os Riscos e Oportunidades 2022.docx
Tema 3 Os Riscos e Oportunidades 2022.docxLichucha
 
Palestra sobre Gestão de Riscos
Palestra sobre Gestão de RiscosPalestra sobre Gestão de Riscos
Palestra sobre Gestão de RiscosGLM Consultoria
 
Si segurança e privacidade (1Sem2014)
Si segurança e privacidade (1Sem2014)Si segurança e privacidade (1Sem2014)
Si segurança e privacidade (1Sem2014)Pedro Garcia
 
Gerenciamento de riscos
Gerenciamento de riscosGerenciamento de riscos
Gerenciamento de riscosPaulo Junior
 
Gerência de Riscos Para certificação MPS-BR
Gerência de Riscos Para certificação MPS-BRGerência de Riscos Para certificação MPS-BR
Gerência de Riscos Para certificação MPS-BRelliando dias
 

Similaire à Governancia de TI risc (20)

Segurança da Informação com Windows Server
Segurança da Informação com Windows ServerSegurança da Informação com Windows Server
Segurança da Informação com Windows Server
 
Palestra
PalestraPalestra
Palestra
 
Whitepaper dtp-directors-managing-risk-pt
Whitepaper dtp-directors-managing-risk-ptWhitepaper dtp-directors-managing-risk-pt
Whitepaper dtp-directors-managing-risk-pt
 
Curso Plano de Continuidade de Negocios
Curso Plano de Continuidade de NegociosCurso Plano de Continuidade de Negocios
Curso Plano de Continuidade de Negocios
 
Implementação de um programa de segurança da informação
Implementação de um programa de segurança da informaçãoImplementação de um programa de segurança da informação
Implementação de um programa de segurança da informação
 
Aula 2 -Análise de Riscos (1).pdf
Aula 2 -Análise de Riscos (1).pdfAula 2 -Análise de Riscos (1).pdf
Aula 2 -Análise de Riscos (1).pdf
 
Curso Plano de Continuidade de Negocios
Curso Plano de Continuidade de NegociosCurso Plano de Continuidade de Negocios
Curso Plano de Continuidade de Negocios
 
Aula 101217070257-phpapp02
Aula 101217070257-phpapp02Aula 101217070257-phpapp02
Aula 101217070257-phpapp02
 
Gestão de riscos
Gestão de riscosGestão de riscos
Gestão de riscos
 
Certificacao iso 27001
Certificacao iso 27001Certificacao iso 27001
Certificacao iso 27001
 
AVALIAÇÃO DE RISCOS EM UMA EMPRESA DE GRANDE PORTE DO NORTE CATARINENSE UTILI...
AVALIAÇÃO DE RISCOS EM UMA EMPRESA DE GRANDE PORTE DO NORTE CATARINENSE UTILI...AVALIAÇÃO DE RISCOS EM UMA EMPRESA DE GRANDE PORTE DO NORTE CATARINENSE UTILI...
AVALIAÇÃO DE RISCOS EM UMA EMPRESA DE GRANDE PORTE DO NORTE CATARINENSE UTILI...
 
Analise_processos_com_foco_em_Riscos
Analise_processos_com_foco_em_RiscosAnalise_processos_com_foco_em_Riscos
Analise_processos_com_foco_em_Riscos
 
Lecture 3 :: Análise e Gestão de Risco
Lecture 3 :: Análise e Gestão de RiscoLecture 3 :: Análise e Gestão de Risco
Lecture 3 :: Análise e Gestão de Risco
 
Tema 3 Os Riscos e Oportunidades 2022.docx
Tema 3 Os Riscos e Oportunidades 2022.docxTema 3 Os Riscos e Oportunidades 2022.docx
Tema 3 Os Riscos e Oportunidades 2022.docx
 
Gerenciamento de Riscos
Gerenciamento de RiscosGerenciamento de Riscos
Gerenciamento de Riscos
 
Palestra sobre Gestão de Riscos
Palestra sobre Gestão de RiscosPalestra sobre Gestão de Riscos
Palestra sobre Gestão de Riscos
 
Si segurança e privacidade (1Sem2014)
Si segurança e privacidade (1Sem2014)Si segurança e privacidade (1Sem2014)
Si segurança e privacidade (1Sem2014)
 
Gerenciamento de riscos
Gerenciamento de riscosGerenciamento de riscos
Gerenciamento de riscos
 
Eletrobras politica de-gestao-de-riscos
Eletrobras politica de-gestao-de-riscosEletrobras politica de-gestao-de-riscos
Eletrobras politica de-gestao-de-riscos
 
Gerência de Riscos Para certificação MPS-BR
Gerência de Riscos Para certificação MPS-BRGerência de Riscos Para certificação MPS-BR
Gerência de Riscos Para certificação MPS-BR
 

Dernier

Conferência SC 24 | O custo real de uma operação
Conferência SC 24 | O custo real de uma operaçãoConferência SC 24 | O custo real de uma operação
Conferência SC 24 | O custo real de uma operaçãoE-Commerce Brasil
 
Conferência SC 24 | Gestão logística para redução de custos e fidelização
Conferência SC 24 | Gestão logística para redução de custos e fidelizaçãoConferência SC 24 | Gestão logística para redução de custos e fidelização
Conferência SC 24 | Gestão logística para redução de custos e fidelizaçãoE-Commerce Brasil
 
Desenvolvendo uma Abordagem Estratégica para a Gestão de Portfólio.pptx
Desenvolvendo uma Abordagem Estratégica para a Gestão de Portfólio.pptxDesenvolvendo uma Abordagem Estratégica para a Gestão de Portfólio.pptx
Desenvolvendo uma Abordagem Estratégica para a Gestão de Portfólio.pptxCoca Pitzer
 
Conferência SC 24 | Data Analytics e IA: o futuro do e-commerce?
Conferência SC 24 | Data Analytics e IA: o futuro do e-commerce?Conferência SC 24 | Data Analytics e IA: o futuro do e-commerce?
Conferência SC 24 | Data Analytics e IA: o futuro do e-commerce?E-Commerce Brasil
 
A LOGÍSTICA ESTÁ PREPARADA PARA O DECRESCIMENTO?
A LOGÍSTICA ESTÁ PREPARADA PARA O DECRESCIMENTO?A LOGÍSTICA ESTÁ PREPARADA PARA O DECRESCIMENTO?
A LOGÍSTICA ESTÁ PREPARADA PARA O DECRESCIMENTO?Michael Rada
 
Questionárionnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn
QuestionárionnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnQuestionárionnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn
QuestionárionnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnGustavo144776
 
Conferência SC 24 | A força da geolocalização impulsionada em ADS e Fullcomme...
Conferência SC 24 | A força da geolocalização impulsionada em ADS e Fullcomme...Conferência SC 24 | A força da geolocalização impulsionada em ADS e Fullcomme...
Conferência SC 24 | A força da geolocalização impulsionada em ADS e Fullcomme...E-Commerce Brasil
 
Conferência SC 24 | Estratégias de precificação para múltiplos canais de venda
Conferência SC 24 | Estratégias de precificação para múltiplos canais de vendaConferência SC 24 | Estratégias de precificação para múltiplos canais de venda
Conferência SC 24 | Estratégias de precificação para múltiplos canais de vendaE-Commerce Brasil
 
Conferência SC 24 | Estratégias de precificação: loja própria e marketplace
Conferência SC 24 | Estratégias de precificação: loja própria e marketplaceConferência SC 24 | Estratégias de precificação: loja própria e marketplace
Conferência SC 24 | Estratégias de precificação: loja própria e marketplaceE-Commerce Brasil
 
Conferência SC 2024 | De vilão a herói: como o frete vai salvar as suas vendas
Conferência SC 2024 | De vilão a herói: como o frete vai salvar as suas vendasConferência SC 2024 | De vilão a herói: como o frete vai salvar as suas vendas
Conferência SC 2024 | De vilão a herói: como o frete vai salvar as suas vendasE-Commerce Brasil
 
Conferência SC 24 | Otimize sua logística reversa com opções OOH (out of home)
Conferência SC 24 | Otimize sua logística reversa com opções OOH (out of home)Conferência SC 24 | Otimize sua logística reversa com opções OOH (out of home)
Conferência SC 24 | Otimize sua logística reversa com opções OOH (out of home)E-Commerce Brasil
 
Conferência SC 2024 | Tendências e oportunidades de vender mais em 2024
Conferência SC 2024 | Tendências e oportunidades de vender mais em 2024Conferência SC 2024 | Tendências e oportunidades de vender mais em 2024
Conferência SC 2024 | Tendências e oportunidades de vender mais em 2024E-Commerce Brasil
 
Conferência SC 24 | Social commerce e recursos interativos: como aplicar no s...
Conferência SC 24 | Social commerce e recursos interativos: como aplicar no s...Conferência SC 24 | Social commerce e recursos interativos: como aplicar no s...
Conferência SC 24 | Social commerce e recursos interativos: como aplicar no s...E-Commerce Brasil
 
Conferência SC 24 | Estratégias de diversificação de investimento em mídias d...
Conferência SC 24 | Estratégias de diversificação de investimento em mídias d...Conferência SC 24 | Estratégias de diversificação de investimento em mídias d...
Conferência SC 24 | Estratégias de diversificação de investimento em mídias d...E-Commerce Brasil
 
Conferência SC 24 | Estratégias omnicanal: transformando a logística em exper...
Conferência SC 24 | Estratégias omnicanal: transformando a logística em exper...Conferência SC 24 | Estratégias omnicanal: transformando a logística em exper...
Conferência SC 24 | Estratégias omnicanal: transformando a logística em exper...E-Commerce Brasil
 
Conferência SC 24 | Inteligência artificial no checkout: como a automatização...
Conferência SC 24 | Inteligência artificial no checkout: como a automatização...Conferência SC 24 | Inteligência artificial no checkout: como a automatização...
Conferência SC 24 | Inteligência artificial no checkout: como a automatização...E-Commerce Brasil
 
Despertar SEBRAE [PROFESSOR] (1).pdfccss
Despertar SEBRAE [PROFESSOR] (1).pdfccssDespertar SEBRAE [PROFESSOR] (1).pdfccss
Despertar SEBRAE [PROFESSOR] (1).pdfccssGuilhermeMelo381677
 
66ssssssssssssssssssssssssssssss4434.pptx
66ssssssssssssssssssssssssssssss4434.pptx66ssssssssssssssssssssssssssssss4434.pptx
66ssssssssssssssssssssssssssssss4434.pptxLEANDROSPANHOL1
 
EP GRUPO - Mídia Kit 2024 - conexão de marcas e personagens
EP GRUPO - Mídia Kit 2024 - conexão de marcas e personagensEP GRUPO - Mídia Kit 2024 - conexão de marcas e personagens
EP GRUPO - Mídia Kit 2024 - conexão de marcas e personagensLuizPauloFerreira11
 
Conferência SC 24 | Omnichannel: uma cultura ou apenas um recurso comercial?
Conferência SC 24 | Omnichannel: uma cultura ou apenas um recurso comercial?Conferência SC 24 | Omnichannel: uma cultura ou apenas um recurso comercial?
Conferência SC 24 | Omnichannel: uma cultura ou apenas um recurso comercial?E-Commerce Brasil
 

Dernier (20)

Conferência SC 24 | O custo real de uma operação
Conferência SC 24 | O custo real de uma operaçãoConferência SC 24 | O custo real de uma operação
Conferência SC 24 | O custo real de uma operação
 
Conferência SC 24 | Gestão logística para redução de custos e fidelização
Conferência SC 24 | Gestão logística para redução de custos e fidelizaçãoConferência SC 24 | Gestão logística para redução de custos e fidelização
Conferência SC 24 | Gestão logística para redução de custos e fidelização
 
Desenvolvendo uma Abordagem Estratégica para a Gestão de Portfólio.pptx
Desenvolvendo uma Abordagem Estratégica para a Gestão de Portfólio.pptxDesenvolvendo uma Abordagem Estratégica para a Gestão de Portfólio.pptx
Desenvolvendo uma Abordagem Estratégica para a Gestão de Portfólio.pptx
 
Conferência SC 24 | Data Analytics e IA: o futuro do e-commerce?
Conferência SC 24 | Data Analytics e IA: o futuro do e-commerce?Conferência SC 24 | Data Analytics e IA: o futuro do e-commerce?
Conferência SC 24 | Data Analytics e IA: o futuro do e-commerce?
 
A LOGÍSTICA ESTÁ PREPARADA PARA O DECRESCIMENTO?
A LOGÍSTICA ESTÁ PREPARADA PARA O DECRESCIMENTO?A LOGÍSTICA ESTÁ PREPARADA PARA O DECRESCIMENTO?
A LOGÍSTICA ESTÁ PREPARADA PARA O DECRESCIMENTO?
 
Questionárionnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn
QuestionárionnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnQuestionárionnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn
Questionárionnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn
 
Conferência SC 24 | A força da geolocalização impulsionada em ADS e Fullcomme...
Conferência SC 24 | A força da geolocalização impulsionada em ADS e Fullcomme...Conferência SC 24 | A força da geolocalização impulsionada em ADS e Fullcomme...
Conferência SC 24 | A força da geolocalização impulsionada em ADS e Fullcomme...
 
Conferência SC 24 | Estratégias de precificação para múltiplos canais de venda
Conferência SC 24 | Estratégias de precificação para múltiplos canais de vendaConferência SC 24 | Estratégias de precificação para múltiplos canais de venda
Conferência SC 24 | Estratégias de precificação para múltiplos canais de venda
 
Conferência SC 24 | Estratégias de precificação: loja própria e marketplace
Conferência SC 24 | Estratégias de precificação: loja própria e marketplaceConferência SC 24 | Estratégias de precificação: loja própria e marketplace
Conferência SC 24 | Estratégias de precificação: loja própria e marketplace
 
Conferência SC 2024 | De vilão a herói: como o frete vai salvar as suas vendas
Conferência SC 2024 | De vilão a herói: como o frete vai salvar as suas vendasConferência SC 2024 | De vilão a herói: como o frete vai salvar as suas vendas
Conferência SC 2024 | De vilão a herói: como o frete vai salvar as suas vendas
 
Conferência SC 24 | Otimize sua logística reversa com opções OOH (out of home)
Conferência SC 24 | Otimize sua logística reversa com opções OOH (out of home)Conferência SC 24 | Otimize sua logística reversa com opções OOH (out of home)
Conferência SC 24 | Otimize sua logística reversa com opções OOH (out of home)
 
Conferência SC 2024 | Tendências e oportunidades de vender mais em 2024
Conferência SC 2024 | Tendências e oportunidades de vender mais em 2024Conferência SC 2024 | Tendências e oportunidades de vender mais em 2024
Conferência SC 2024 | Tendências e oportunidades de vender mais em 2024
 
Conferência SC 24 | Social commerce e recursos interativos: como aplicar no s...
Conferência SC 24 | Social commerce e recursos interativos: como aplicar no s...Conferência SC 24 | Social commerce e recursos interativos: como aplicar no s...
Conferência SC 24 | Social commerce e recursos interativos: como aplicar no s...
 
Conferência SC 24 | Estratégias de diversificação de investimento em mídias d...
Conferência SC 24 | Estratégias de diversificação de investimento em mídias d...Conferência SC 24 | Estratégias de diversificação de investimento em mídias d...
Conferência SC 24 | Estratégias de diversificação de investimento em mídias d...
 
Conferência SC 24 | Estratégias omnicanal: transformando a logística em exper...
Conferência SC 24 | Estratégias omnicanal: transformando a logística em exper...Conferência SC 24 | Estratégias omnicanal: transformando a logística em exper...
Conferência SC 24 | Estratégias omnicanal: transformando a logística em exper...
 
Conferência SC 24 | Inteligência artificial no checkout: como a automatização...
Conferência SC 24 | Inteligência artificial no checkout: como a automatização...Conferência SC 24 | Inteligência artificial no checkout: como a automatização...
Conferência SC 24 | Inteligência artificial no checkout: como a automatização...
 
Despertar SEBRAE [PROFESSOR] (1).pdfccss
Despertar SEBRAE [PROFESSOR] (1).pdfccssDespertar SEBRAE [PROFESSOR] (1).pdfccss
Despertar SEBRAE [PROFESSOR] (1).pdfccss
 
66ssssssssssssssssssssssssssssss4434.pptx
66ssssssssssssssssssssssssssssss4434.pptx66ssssssssssssssssssssssssssssss4434.pptx
66ssssssssssssssssssssssssssssss4434.pptx
 
EP GRUPO - Mídia Kit 2024 - conexão de marcas e personagens
EP GRUPO - Mídia Kit 2024 - conexão de marcas e personagensEP GRUPO - Mídia Kit 2024 - conexão de marcas e personagens
EP GRUPO - Mídia Kit 2024 - conexão de marcas e personagens
 
Conferência SC 24 | Omnichannel: uma cultura ou apenas um recurso comercial?
Conferência SC 24 | Omnichannel: uma cultura ou apenas um recurso comercial?Conferência SC 24 | Omnichannel: uma cultura ou apenas um recurso comercial?
Conferência SC 24 | Omnichannel: uma cultura ou apenas um recurso comercial?
 

Governancia de TI risc

  • 1. UNIVERSIDADE EDUARDO MONDLANE FACULDADE DE CIÊNCIAS DEPARTAMENTO DE MATEMÁTICA E INFORMÁTICA Curso de Mestrado em Informática GOVERNO DE TI Out/14 – Nov/14
  • 2. Risco 2 1. Princípios de geral 2. Risco de Governança Avaliação do risco Resposta ao risco
  • 3. 3 P r i n c í p i o s g e r a l
  • 4. P r i n c í p i o s g e r a l 4 1. Ligação entre os risco de TI e os objectivos de negócio: 2. Alinhar o processo de gestão de risco de TI ao ERM da organização 3. Gerir riscos de TI de acordo com a relação custo/benefício 4. Promover uma aberta comunicação sobre o risco de TI 5. Comprometimento da gestão de topo 6. Promoção da melhoria contínua como parte da actividade diária
  • 6. Risco de Governança 6 Objectivo: Garantir que as práticas de gestão de risco de TI fazem parte dos processos organizacionais, permitindo que a organização encontre a melhor relação de risco/retorno. Métricas  A percentagem de redução de risco associado à utilização das TI nos processos críticos de negócio;  Percentagem de funções de gestão de risco que têm formação específica em técnicas de gestão de risco. Processos  RG1 – Definir e implementar uma visão comum de risco;  RG2 – Integrar com o ERM da organização;  RG3 – Tomar decisões com base no risco.
  • 7. RG1 - Definir e implementar uma 7 visão comum de risco Objectivo: Garantir que as actividades de gestão de risco estão afinadas e alinhadas com os limites aceitáveis e com a tolerância da gestão da organização para perdas associadas às TI’s. Actividades  RG1.1 – Efectuar uma análise de risco da organização (através de workshops com a gestão; ajudar os gestores a perceber o impacto do risco de TI no negócio, através de cenários; fazer uma abordagem Top-Down a identificar os principais activos de TI que suportam o negócio, etc.)  RG1.2 – Propor limites de tolerância ao risco de TI (exprimir o limite nas mesmas medidas dos objectivos de negócio em causa);  RG1.3 – Aprovar a tolerância de risco de TI;  RG1.4 – Alinhar a política de risco de TI (transpor o apetite e a tolerância ao risco numa política de risco de TI, rever
  • 8. RG2 – Integrar com o ERM da 8 organização Objectivo: Integrar as operações e a estratégia de gestão de risco de TI com os processos de tomada de gestão de risco, feitas ao nível da organização. Actividades  RG2.1 – Definir e manter a cadeia de responsabilidades pela gestão de risco de TI (definir indicadores de performance e um processo de reporte; definir objectivos de performance, etc.)  RG2.2 – Alinhar a estratégia de risco de TI com a de negócio;  RG2.3 – Adaptar as práticas de gestão de risco de TI às da organização;  RG2.4 – Dotar a gestão de risco de TI com os recursos necessários (serão necessários recursos a nível do negócio e das TI’s; dotar os colaboradores de formação específica; documentar os processos de gestão de risco de TI; considerar a adopção de aplicações informáticas para apoio na gestão de risco, etc.);  RG2.5 – Avaliar de forma independente a gestão de risco de TI (obter uma avaliação independente sobre a performance das actividades de gestão de risco de TI).
  • 9. RG3 – Tomar decisões com base 9 no risco Objectivo  Garantir que as decisões são tomadas em plena consciência das oportunidades e consequências da dependência da tecnologia adoptada. Actividades  RG3.1 – Obter o patrocínio da gestão para as análises de risco de TI (treinar os decisores na abordagem proposta de análise de risco; demonstrar as mais valias da análise de risco no processo de decisão, etc.)  RG3.2 – Aprovar as análise de risco de TI (garantir que o relatório de análise de risco tem a informação suficiente para a sua compreensão);  RG3.3 – Incluir aspectos de TI no processo de decisão estratégica da organização (ser proactivo e identificar aspectos de risco sobre decisões que ainda estão por tomar);  RG3.4 – Aceitar o risco de TI (de acordo com o nível de risco aceite);  RG3.5 – Priorizar as respostas ao risco de TI (começar por aquelas que têm maior impacto na redução do risco).
  • 10. Avaliação do risco 10 Objectivo Garantir que todos os riscos e oportunidades associadas às Tecnologias de Informação são devidamente identificadas, analisadas e apresentadas em linguagem de negócio. Métricas O impacto acumulado de eventos e incidentes tecnológicos não identificados no processo de gestão de risco de TI. Processos  RE1 – Capturar informação;  RE2 – Analisar o risco;  RE3 – Manter um perfil de risco.
  • 11. RE1 - Recolher informação 11 Objectivo Identificar informação relevante que permita uma efectiva identificação, análise e reporte do risco associado às Tecnologias de Informação. Actividades  RE1.1 – Definir e manter um modelo de recolha, classificação e análise de informação de risco de TI (ex. ameaças, vulnerabilidades, eventos de perda) sobre diversas categorias de risco;  RE1.2 – Recolher informação directamente sobre o ambiente operativo;  RE1.3 – Recolher informação sobre eventos de risco que tenham, ou possam ter, impacto em qualquer das categorias de risco;  RE1.4 – Identificar os factores de risco (determinar quais as condições existentes para potenciar o evento de perda).
  • 12. 12 Recolher informação A recolha de informação pode ser feita através de diversas metodologias:  Entrevistas;  Questionários;  Workshops;  Observação;  Testes.
  • 13. Categorias de Risco 13 Risco de estratégia: possibilidade da estratégia prosseguida e das políticas definidas na área dos sistemas de informação se revelarem desajustadas relativamente às actividades desenvolvidas; Risco de flexibilidade: incapacidade de adaptar os sistemas de informação e a sua funcionalidade a novas necessidades tempestivamente; Risco de acesso: probabilidade de ocorrem acessos não autorizados ou inapropriados aos sistemas de informação; Risco de integridade: probabilidade de a informação produzida pelos sistemas ser incorrecta, incompleta, inconsistente ou extemporânea; Risco de continuidade: probabilidade de ocorrência de falhas nos sistemas, com impacto na disponibilidade e recuperação da informação.
  • 14. RE2 - Analisar o risco 14 Objectivo  Desenvolver informação útil para suportar as decisões que levem em consideração os factores de risco. Actividades  RE2.1 – Definir o âmbito de cobertura da análise de risco (Decidir sobre a cobertura, profundidade e o esforço a aplicar na análise de risco. Mapear os principais factores de risco com os processos de negócio considerados mais críticos);  RE2.2 – Estimar o risco (Dentro do âmbito de cobertura da análise de risco, estimar a frequência e magnitude de perda ou ganho associado aos cenários de risco de TI; Estimar o maior valor de perda possível; Avaliar os controlos e o seu efeito na frequência ou magnitude do impacto e factores de risco aplicáveis. Estimar o risco residual e compara-lo com a tolerância ao risco e identificar necessidades de acções de resposta ao risco.);  RE2.3 – Identificar as respostas ao risco (Identificar as opções de resposta ao risco disponíveis, tais como evitar, reduzir/mitigar, transferir/partilhar, ou aceitar. Documentar os racionais e os trade-offs de entre cada uma das opções. Identificar os custos e benefícios associados.);  RE2.4 – Rever a análise de risco (Efectuar uma revisão dos resultados da análise risco antes de a enviar para a gestão de topo para decisão. Confirmar se a análise está bem documentada e alinhada com os procedimentos da organização. Rever as bases de cálculo das estimativas de probabilidades de perdas).
  • 15. Avaliação do risco - Cenários de risco 15 Duas abordagens a utilizar em conjunto:  Top-Down – inicia com os objectivos de negócio e segue a análise até aos mais prováveis cenários de risco de TI, dada a presença de TI nos processos de negócio.  Botton-Up – listam-se cenários genéricos que materializem riscos mais concretos.
  • 17. RE3 - Manter um perfil de risco 17 Objectivo Manter um inventário actualizado das características dos riscos (frequência e impactos prováveis), dos recursos de TI e dos controlos, tal como são conhecidos no contexto do negócio. Actividades  RE3.1 – Mapear os recursos de TI aos processos de negócio (Entender a dependência do negócio nos recursos de TI);  RE3.2 – Definir a criticidade dos recursos de TI para o negócio (Perceber quais o recursos de TI que são críticos; Fazer uma abordagem Top-Down até às componentes físicas);  RE3.3 – Perceber a capacidade Tecnológica (Perceber se, em condições normais, os controlos são capazes de manter o risco dentro dos valores aceites pela organização);  RE3.4 – Actualizar as componentes da análise de cenários (Rever os valores dos componentes utilizados nos cenários de risco e ajustar de acordo a realidade observada);  RE3.5 – Manter um registo do risco de TI (manter atualizado o perfil de risco da organização); RE3.6 – Desenvolver KRI’s (Desenhar métricas ou indicadores que tenham a
  • 18. Matriz de riscos 18  Anexo excel
  • 19. Resposta ao risco 19 Objectivo Garantir que os eventos e as oportunidades associadas ao risco de TI, são devidamente tratados, de forma económica e alinhada com as prioridades de negócio. Métricas O impacto acumulado dos incidentes ou eventos de risco, antecipados pela avaliação de risco e ainda não tratados pelo processo de resposta de riscos. Processos  RR1 – Articular o risco;  RR2 – Gerir o risco;  RR3 – Reagir aos eventos.
  • 20. Resposta ao risco RR1 - Articular o risco 20 Objectivo Garantir a disponibilidade e tempestividade da informação associada ao risco e às oportunidades de TI, permitindo desta forma que a gestão implemente as medidas necessárias para responder ao risco. Actividades  RR1.1 – Comunicar o resultado das análises de risco (reportar em formato utilizável pelo processo de tomada de decisão; comunicar de forma clara no contexto de retorno do risco; quando possível incluir probabilidades de ganho ou perda, pior cenário e cenário mais provável).  RR1.2 – Reportar as actividades de gestão do risco de TI e estado de conformidade (responder às necessidades de informação de risco dos diversos stakeholders – ex. administração, comité de risco, funções de controlo, gestão. Incluir eficácia e eficiência dos controlos, acções de melhoria, eventos e incidentes).  RR1.3 – Interpretar eventos de TI identificados por terceiros (rever os resultados e eventos específicos feitos por terceiros – ex. Auditoria interna, garantia da qualidade, etc., mapear estes eventos ao perfil de risco e aos controlos falhados).  RR1.4 – Identificar oportunidades associadas às TI (de forma regular, considerar o nível de risco das TI, se estiver abaixo do apetite ao risco, identificar oportunidades e assumir mais risco para obter mais retorno).
  • 21. RR2 - Gerir o risco 21 Objectivo  Garantir que as actividades de alavancagem das oportunidades e de redução do risco até ao nível de tolerância, são geridas como um portfólio. Actividades  RR2.1 Inventariar controlos (para todas as áreas de risco, inventariar os controlos existentes; classificar os controlos e associa-los a riscos específicos ou agregações de risco; desenhar testes para os controlos; identificar procedimentos e tecnologia para monitorizar a sua capacidade operativa).  RR2.2 Monitorizar o alinhamento entre as operações e os níveis toleráveis de risco (garantir que as áreas de negócio aceitam operar dentro dos níveis de risco definidos; monitorizar a performance dos controlos; para os riscos principais; testar o desenho e a eficácia dos controlos associados).  RR2.3 Responder a novos riscos e oportunidades (iniciar projectos que venham a reduzir a frequência ou magnitude de eventos e complementar com projectos que potenciem componentes estratégicas do negócio).  RR2.4 Implementar controlos (desenvolver novos controlos e ajustar os já existentes; testar o controlo antes de confiar no mesmo; inventariar o novo controlo e mapeá-lo com os procedimentos de monitorização).  RR2.5 Reportar progressos do plano de risco tecnológico (monitorizar os planos de acção, garantindo a eficácia das medidas propostas).
  • 22. Key Risk Indicators 22  São métricas capazes de demonstrar que a organização está exposta a um determinado risco e que por sua vez, este pode exceder o apetite ao risco.  São específicos da organização para o qual foram definidos.
  • 23. RR3 - Reagir aos eventos 23 Objectivo Garantir que as medidas para alavancar as oportunidades ou limitar a frequência e magnitude de um evento relacionado com as TI’s são atempada e efectivamente aplicadas. Actividades  RR3.1 – Planos de reposta a incidentes (preparar para a materialização das ameaças através de planos que documentem o que fazer em caso de ocorrência).  RR3.2 – Monitorizar o risco de TI (monitorizar o ambiente de controlo e avaliar quando um controlo atinge os seus limites, categorizar incidentes e comparar as exposições reais com os níveis aceites. Comunicar os impactos no negócio aos decisores).  RR3.3 – Iniciar a resposta ao incidente (tomar acção para minimizar o impacto do incidente; identificar a categoria do incidente e seguir o plano de resposta ao incidente; informar os stakeholders e partes afectadas).  RR3.4 Comunicar as lições aprendidas (rever eventos oportunidades passadas; perceber as razões da falha; identificar eventos semelhantes e avaliar se foram tomadas medidas correctivas).
  • 24. Prioritização e resposta ao risco 24 Evitar o risco Evitar significa abandonar as actividades ou condições que representem risco. Evitar o risco aplica-se quando nenhuma outra resposta ao risco é adequada. Como por exemplo:  Não existe uma resposta económica que consiga reduzir a frequência ou o impacto até ao níveis do apetite de risco definido;  O risco não pode ser evitado ou transferido;  O risco é inaceitável para a gestão de topo. Reduzir o risco/mitigação Redução do risco significa tomar medidas que detectem o risco, seguidas de medidas com a capacidade de reduzir a sua frequência e/ou impacto. As formas mais comuns de mitigar o Risco são:  Fortalecer as práticas de gestão de risco;  Introduzir um conjunto de medidas de controlo.
  • 25. Prioritização e resposta ao risco 25  Partilha/transferência do risco Partilhar significa reduzir a frequência ou impacto do risco através da transferência ou partilha de uma parte do risco. As formas mais comuns de partilha ou transferência do risco passam pela aplicação de um seguro ou pelo outsourcing. Estas técnicas não aliviam o risco da organização, mas permitem a utilização de recursos de outra organização no apoio à gestão do risco e reduzem o seu impacto financeiro.  Aceitação do risco A aceitação significa que não serão tomadas acções relativamente a um determinado risco e o seu impacto financeiro é aceite. É diferente de ignorar o risco, significa que o mesmo é conhecido, e que as decisões são tomadas tendo conhecimento do mesmo. A aceitação do risco de TI deverá ser feita unicamente pelos responsáveis dos processos de negócio, com o apoio dos responsáveis pelo TI, e devidamente comunicada à gestão de topo.