Portfólio Consultoria Compliance TI Governança Segurança

AGHATHA
PORTFÓLIO - CONSULTORIA PARA COMPLIANCE
PROCESSOS E CONTROLES DE TI
GOVERNANÇA DE TI E SEGURANÇA DA INFORMAÇÃO

AGHATHA - Apresentação Portfolio Serviços de Consultoria – Compliance de TI 1 ©2005-2010 Copyright – AGHATHA
11:15

Agenda

1 Apresentação AGHATHA.

2 Consultoria de Processos de TI – Areas de Atuação

3 Projetos e Serviços - Segurança da Informação
4 P&R

11:15

1 – APRESENTAÇÃO - AGHATHA

1.1 – MELHORES PRÁTICAS E REFERENCIAIS TÉCNICOS ADOTADOS

11:15

2- CONSULTORIAS DE TI

2.1 - ÁREAS DE ATUAÇÃO

11:15


2.1 – ÁREAS DE ATUAÇÃO:

2.1.1. – Governança de TI / Sarbanes-Oxley - COSO / COBIT
• Avaliação de Nível de Maturidade/Riscos Processos e Controles de TI – COSO/COBIT;
• Adequação/Revisão dos Processos e Controles de TI – SOX / COBIT / IS0-27K / IS-20K / PMI
• Organização e Instalação do Escritório de Gerenciamento de Riscos
• Treinamento e Preparação Equipe de TI – Processo de Auditoria Externa/Compliance TI (BIG 4).

2.1.2. – Gerenciamento de Serviços de TI - ISO-IEC-20.000 / ITIL V3
• Avaliação de Nível de Maturidade/Serviços de TI - ITIL V3 / ISO-20.000 – GAP Analisys
• Adequação/Revisão dos Processos e Controles de TI – ITIL V3 / ISO-20.000 – GAP Solution
• Treinamento e Preparação Equipe de TI – Uso e Aplicação dos Processos e controles.

11:15


2.1 – ÁREAS DE ATUAÇÃO:

2.1.3. – Gerenciamento de Segurança de TI - ISO-IEC-27.002;
• Avaliação de Nível de Maturidade/Serviços de TI - ISO-27.001/2 – GAP Analisys
• Adequação/Revisão dos Processos e Controles de TI – ISO-27.001/2 – GAP Solution
• Treinamento e Preparação Equipe de TI – Uso e Aplicação dos Processos e controles.
• Projeto de Implantação do Plano de Continuidade de Negócio;
• Projeto de Segregação de Função Revisão Controle Acesso / Matriz Conflitos – Sistema R3
SAP / Profilling for SAP (Transware AG);
• Treinamento Equipe de TI – Uso e Aplicação dos Processos e controles.

11:15


2.1 – ÁREAS DE ATUAÇÃO :

2.1.4. – Gerenciamento de Portfólio de Projetos - PMI / PMBOK;

• Metodologia de Gerenciamento de Mudanças – Infraestrutura de TI;
• Metodologia de Gerenciamento de Mudanças – Aplicações / Sistemas (SDLC);
• Implantação de Escritório de Projetos – PMO – Gestão de Portfólio de Projetos de TI
• Portfólio de projetos Alinhado ao Orçamento, Planejamento Estratégico e BSC;
• Instalação de Comitê de Gestão de Projetos de TI.
• Implantação de Metodologia Desenvolvimento de Produtos – (PDLC);
• Metodologia alinhada as necessidades de Mercado e Marketing
• Instalação de Comitê de Novos produtos
• Coaching para Diretores, Gestores e Gerentes de Projetos na aplicação das metodologias;

11:15


2.2 – CICLO DE VIDA - PROJETOS DE CONSULTORIA DE TI:

11:15


2.3 – Desafios e Problemas mais Comuns.

- Por onde Começar ?
- É muito frequente o Gestor de TI se deparar com esta dúvida, quando há a necessidade de obter valor em seus processos e
controles, rever seus níveis de maturidade entre a TI e o Negócio, ou ainda, obter Compliance a algum padrão ou melhor
prática devido a algum requisito legal para o negócio.

- A Medida que o Gestor de TI aumenta o seu nível de compreensão do trabalho a ser feito e da complexidade em termos de
mudanças, quebras de paradigmas, integrações entre as equipes, normalmente é neste ponto que surge esta questão.

- Nossos modelos de consultoria possuem uma visão Holística e 360 Graus dos processos e controles e são divididos em
Pacotes por escopo considerando cada Padrão de forma individualizada, no entanto os modelos são formatados
considerando a existência das interfaces necessárias com as demais práticas como se estas já estivessem em pleno uso,
ou seja, Nós eliminamos o efeito retrabalho causado pela implementação de ondas sucessivas de mudanças, que
normalmente causam a necessidade de ajustes futuros em processos e controles já implementados, quando se desejar
implementar um novo padrão ou melhor prática.

- Isto, reduz drasticamente a necessidade de realização de diversas ondas de treinamentos, revisões em controles já
realizados, recomposição de evidencias no Legado, insatisfação da equipe em ter de mudar e adaptar diversas vezes um
mesmo controle até que o mesmo seja Compliance com diversos padrões requeridos.

11:15


2.3 – Diferenciais do Framework de Processos AGHATHA

- Procedimentos e Controles são totalmente Integrados e alinhados entre si.

- É comum a existência de múltiplos requisitos entre as melhores práticas endereçadas a um mesmo processo de TI.
- O Framework considera todas as recomendações de forma alinhada e integrada, evitando retrabalhos na readequação dos processos a
cada nova melhor prática adotada e as consequentes ações de Revisões, Reimplantações, Re-treinamento, ajustes em controles
legados, e ainda a emissão de diversas versões de um mesmo processo até que todas as práticas sejam adotadas e atendidas.

- Implantação Rápida e Eficiente das Recomendações e integração das ações requeridas pelas diversas Equipes de TI.

- Os processos e controles de TI são geralmente Matriciais e necessitam ser ágeis, integrados e não burocráticos.
- O Framework considera todas as recomendações previstas em cada padrão ou melhor prática e ao mesmo tempo proporcionam
integração Cross-Functional entre as atividades exercidas em cada uma das áreas de TI, os procedimentos são alinhados horizontal e
verticalmente obedecendo critérios de segregação de função, conflitos de interesse e mitigando riscos para o negócio.

- Framework Auditados e Certificados.

- Os processos são efetivos e Aptos para Auditorias Externas de Compliance.
- Nossos modelos de referencia já foram auditados por diversas oportunidades e efetivamente proporcionam o atendimento dos requisitos
e exigências requeridos por auditorias Externas para Sarbanes-Oxley, ISO-27001. Gerenciamento de Serviços de TI - ITIL V3 e
Gerenciamento de Mudanças e Projetos - PMI / PMO e Governança de TI.
- Os modelos promovem a Redução dos Riscos para o Negócio de acordo com a visão da Governança de TI, eliminação de ameaças de
fraudes ou desvios de conduta que possam causar impacto no negócio.

11:15

3 – PROJETOS E SERVIÇOS SEGURANÇA DA
INFORMAÇÃO

3.1 - GERENCIAMENTO DE SEGURANÇA INFORMAÇÃO

ISO-IEC-27.001/2 COMPLIANCE

11:15

3.1- GERENCIAMENTO DE SEGURANÇA DA INFORMAÇÃO

3.1.1 – PARADIGMAS – SEGURANÇA DA INFORMAÇÃO:

• A informação é um ATIVO, essencial para o negócio e deve ser protegida;

• A informação ESTÁ EXPOSTA a uma variedade de ameaças e vulnerabilidades dentro e fora da organização;

• A segurança da informação é RESPONSABILIDADE DE TODOS;

• A Gestão da segurança da informação é resultado do conjunto integrado de ações que envolvem
PESSOAS,PROCESSOS e CONTROLES.

11:15


3.1.2 – PRINCIPAIS MOTIVAÇÕES – SEGURANÇA DA INFORMAÇÃO:

•Nível de conhecimento geral das ações de segurança é adequado e atualizado;

•Usuários possuem direito de acesso lógico e físico adequados;

•Nível de proteção de rede e aplicações adequadas;

•Uso inadequado /abusivo dos recursos e serviços corporativos;

•Controle do nível de integridade e confidencialidade das informações críticas;

•Nível de gerenciamento e proteção de falhas na continuidade do Negócio;

•Segregação e funções e gestão de conflitos de interesses adequados;

•Responsabilidade civil, criminal do usuário pelo uso indevido email/web é reconhecida;

•Controle das ações de terceiros é adequadamente controlada e responsabilizada;

11:15


3.1.3 – ABORDAGEM – PROJETOS GERENCIAMENTO DE SEGURANÇA

11:15


3.1.4 – FERRAMENTAS DE DIAGNÓSTICO / MAPA DO NÍVEL DE MATURIDADE

Diagnóstico

Visão Gerencial
11:15


3.1.5 – ORGANIZAÇÃO HIERARQUICA – ENTREGÁVEIS DOS PROCESSOS

11:15


3.1.6 – MAPA GERAL PROCESSOS – COMPLIANCE SEGURANÇA INFORMAÇÃO - ISO-IEC-27.001/2

11:15


3.1.6 – EXEMPLO DE ESTRUTURA DOS PROCEDIMENTOS

Instruções
Técnicas
(passo-a-passo)

O que? Quem? Como? Quando? Mapeamento através de Fluxos de Processos

11:15


3.1.7– CICLOS DE EVOLUÇÃO DOS NIVEIS MATURIDADE DOS PROCESSOS

Atual Objetivo O - Inexistente: Gerenciamento de processos não são aplicados,
não há padrão definido para execução de ações técnicas
1 - Inicial: Processos são ‘ad hoc’ e desorganizados, o sucesso
depende de esforços pessoais
2 - Repetitivo – Os processos seguem um padrão regular –
Estrutura Normativa Estabelecida / Porém é Incompleta
3 - Definido- Os processos são documentados e comunicados –
Estrutura Normativa Completa e Aplicada
4 – Gerenciado – Processos são monitorados e medidos (Kpi s e
Kpg s / SLA s e SLM s) e são tomadas ações corretivas de forma
regular e continuada;
5 - Otimizado – Melhores práticas são seguidas e controladas de
forma Automatizadas / Com apoio de Ferramentas e meios
Auxiliares ;

11:15


3.1.8 – DIAGNÓSTICO (ONDE ESTAMOS? / ONDE QUEREMOS ESTAR?)

Antes Depois
11:15

INFORMAÇÃO

3.2 - GERENCIAMENTO DOS SERVIÇOS DE TI
ISO-IEC-20.000-1/2 / ITIL V3

11:15

3.2- GERENCIAMENTO DOS SERVIÇOS DE TI - ITIL

3.2.1 – PARADIGMAS – SERVIÇOS DE TI :

• Área de TI como prestadora de serviços e suporte do NEGÓCIO;

• Os INVESTIMENTOS de TI alinhados aos OBJETIVOS e a PRIORIDADES DO NEGÓCIO;

• A priorização das AÇÕES de TI estar alinhadas aos OBJETIVOS e a PRIORIDADES DO NEGÓCIO

• A INFORMAÇÃO é propriedade do NEGÓCIO e é CUSTODIADA pela ÁREA DE TI;

• A Qualidade dos SERVIÇOS de TI é responsabilidade do CIO;

• O dimensionamento da Equipe de TI está DIRETAMENTE relacionada ao NÍVEL DE SERVIÇO requeridos pelo
NEGÓCIO;

• O relacionamento entre a TECNOLOGIA e o NEGÓCIO através da GOVERNANÇA DE TI.

11:15


3.2.2 – PRINCIPAIS MOTIVAÇÕES – SERVIÇOS DE TI:

• Equipe de TI atua de forma alinhada e integrada aos requisitos e necessidades do negócio;
• As responsabilidades de TI estão endereçados claramente entre os recursos humanos de TI;
• A infraestrutura de TI suporta e contribui adequadamente para as operações do negócio;
• Os níveis de serviços requeridos pelo negócio são adequadamente gerenciados e comunicados;
• A responsabilidade pelos ativos e informações estão devidamente endereçados aos usuários;
• Os investimentos de TI estão alinhados aos objetivos e necessidades do negócio;
• Os processos e ações de TI estão adequadamente executados, documentados e evidenciados;
• Os gestores do negócio são co-responsáveis pela priorização das ações de TI;
• As áreas tomadoras de serviços de TI estão patrocinando adequadamente os custos e os investimentos
necessários;
• Os serviços e fornecedores estão atendendo aos requisitos do negócio;
• O planejamento estratégico da organização está endereçando as necessidades de TI;
• O Plano Diretor de Informática está alinhado ao Planejamento Estratégico e Orçamento;
• As mudanças promovidas no ambiente e aplicações estão sob controle;

11:15



Diagnóstico

Mapa Gerencial
11:15


3.2.4 – ABORDAGEM – PROJETOS GERENCIAMENTO DE SERVIÇOS DE TI

11:15



Requisitos do Negócio Quais SLA´s?

11:15



Antes Depois
11:15

INFORMAÇÃO

3.3 - GERENCIAMENTO DE RISCOS DE TI
COSO / ISO-IEC-27.005

11:15


3.3.1 – ABORDAGEM – PROJETOS GERENCIAMENTO DE RISCOS DE TI
PROCESSO DE GESTÃO DE RISCOS

ESTABELER O CONTEXTO

AVALIAÇÃO DOS RISCOS

ANÁLISE DOS RISCOS

MONITORAR E REVISAR OS RISCOS
IDENTIFICAR OS RISCOS
COMUNICAR OS RISCOS

ESTIMAR OS RISCOS

AVALIAR OS RISCOS

DECISÃO DE RISCO – PONTO 1 Não
Avaliação é Satisfatória?

Sim

TRATAR OS RISCOS

Não
DECISÃO DE RISCO – PONTO 2
Tratamento é Satisfatório?

Sim

ACEITAR OS RISCOS

FINAL DA PRIMEIRA OU SUBSEQUENTE ITERAÇÃO

11:15


3.3.2 – FERRAMENTAS DE DIAGNÓSTICO / MAPA DE RISCOS

11:15



Antes Depois
11:15


3.3.4 – REDUÇÃO DOS RISCOS E/OU REDUÇÃO DOS NIVEIS DE RISCO

11:15

3 – PROJETOS E SERVIÇOS SEGURANÇA
DA INFORMAÇÃO

3.4 - PROJETO COMPLIANCE SARBANES OXLEY ACT
PROJETO GOVERNANÇA DE TI
COBIT / COSO / SOX ACT

11:15

3.4 – SARBANES-OXLEY COMPLIANCE / GOVERNANÇA TI

3.4.1 – ABORDAGEM – PROJETOS COMPLIANCE – SARBANES OXLEY ACT

11:15



Diagnóstico

Visão Gerencial
11:15



Antes Depois

11:15



11:15


3.4.5 – MAPA GERAL PROCESSOS – COMPLIANCE SOX / GOVERNANÇA DE TI

11:15


3.4.6 – CICLOS DE EVOLUÇÃO DOS NIVEIS MATURIDADE DOS PROCESSOS

Atual Objetivo O - Inexistente: Gerenciamento de processos não são aplicados,
não há padrão definido para execução de ações técnicas
1 - Inicial: Processos são ‘ad hoc’ e desorganizados, o sucesso
depende de esforços pessoais
2 - Repetitivo – Os processos seguem um padrão regular –
Estrutura Normativa Estabelecida / Porém é Incompleta
3 - Definido- Os processos são documentados e comunicados –
Estrutura Normativa Completa e Aplicada
4 – Gerenciado – Processos são monitorados e medidos (Kpi s e
Kpg s / SLA s e SLM s) e são tomadas ações corretivas de forma
regular e continuada;
5 - Otimizado – Melhores práticas são seguidas e controladas de
forma Automatizadas / Com apoio de Ferramentas e meios
Auxiliares ;

11:15

Contatos / Redes Sociais
Redes Sociais
http://aghatha.wordpress.com/

http://www.facebook.com/aghatha.maxi

http://twitter.com/#!/aghatha_maxi

Contatos
REGIÃO SUL REGIÃO CENTRO / NORTE REGIÃO SUDESTE / NORDESTE

Porto Alegre - RS Belo Horizonte - MG São Paulo - SP

Av. Dom Pedro II, 1240 Av. Barão Homem de Melo, 4500 Av. Guadalupe, 58 / 51
Sala 509e Bairro Higienópolis 11º Andar Bairro Das Mansões Jd. América - S. J. Campos - SP
E-mail : E-mail : E-mail :
RS@aghatha.com.br MG@aghatha.com.br SP@aghatha.com.br
Fone/Fax/Cel: Fone/Fax/Cel: Fone/Fax/Cel:

+55 51 3031-2659 +55 31 2555-8227 +55 12 3033-3435

www.aghatha.com.br

11:15

Portfólio Consultoria Compliance TI Governança Segurança

Recommandé

Recommandé

Contenu connexe

Tendances

Tendances (20)

En vedette

En vedette (11)

Similaire à Portfólio Consultoria Compliance TI Governança Segurança

Similaire à Portfólio Consultoria Compliance TI Governança Segurança (20)

Portfólio Consultoria Compliance TI Governança Segurança