governancia de ti risc
DESCRIPTION
...TRANSCRIPT
GOVERNO DE TI
Out/14 – Nov/14
UNIVERSIDADE EDUARDO MONDLANEFACULDADE DE CIÊNCIAS
DEPARTAMENTO DE MATEMÁTICA E INFORMÁTICACurso de Mestrado em Informática
Risco2
1. Princípios de geral
2. Risco de Governança
Avaliação do risco
Resposta ao risco
3
P r i n c í p i o s g e r a l
P r i n c í p i o s g e r a l4
1. Ligação entre os risco de TI e os objectivos de negócio:
2. Alinhar o processo de gestão de risco de TI ao ERM da organização
3. Gerir riscos de TI de acordo com a relação custo/benefício
4. Promover uma aberta comunicação sobre o risco de TI
5. Comprometimento da gestão de topo
6. Promoção da melhoria contínua como parte da actividade diária
Framework risco5
Risco de Governança6
Objectivo: Garantir que as práticas de gestão de risco de TI fazem parte dos processos organizacionais, permitindo que a organização encontre a melhor relação de risco/retorno. Métricas A percentagem de redução de risco associado à utilização
das TI nos processos críticos de negócio; Percentagem de funções de gestão de risco que têm
formação específica em técnicas de gestão de risco. Processos RG1 – Definir e implementar uma visão comum de risco; RG2 – Integrar com o ERM da organização; RG3 – Tomar decisões com base no risco.
RG1 - Definir e implementar uma visão comum de risco
7
Objectivo: Garantir que as actividades de gestão de risco estão afinadas e alinhadas com os limites aceitáveis e com a tolerância da gestão da organização para perdas associadas às TI’s.
Actividades
RG1.1 – Efectuar uma análise de risco da organização (através de workshops com a gestão; ajudar os gestores a perceber o impacto do risco de TI no negócio, através de cenários; fazer uma abordagem Top-Down a identificar os principais activos de TI que suportam o negócio, etc.)
RG1.2 – Propor limites de tolerância ao risco de TI (exprimir o limite nas mesmas medidas dos objectivos de negócio em causa);
RG1.3 – Aprovar a tolerância de risco de TI;
RG1.4 – Alinhar a política de risco de TI (transpor o apetite e a tolerância ao risco numa política de risco de TI, rever periodicamente o documento);
RG1.5 – Promover uma cultura de consciencialização de risco (encorajar os colaboradores a identificar o risco de TI antes da sua ocorrência; focar e comunicar os riscos mais importantes);
RG1.6 – Encorajar uma efectiva comunicação de risco de TI (utilizar os termos aceites pela organização, comunicar em termos de risco de negócio).
RG2 – Integrar com o ERM da organização 8
Objectivo: Integrar as operações e a estratégia de gestão de risco de TI com os processos de tomada de gestão de risco, feitas ao nível da organização.
Actividades RG2.1 – Definir e manter a cadeia de responsabilidades pela gestão de
risco de TI (definir indicadores de performance e um processo de reporte; definir objectivos de performance, etc.)
RG2.2 – Alinhar a estratégia de risco de TI com a de negócio; RG2.3 – Adaptar as práticas de gestão de risco de TI às da organização; RG2.4 – Dotar a gestão de risco de TI com os recursos necessários (serão
necessários recursos a nível do negócio e das TI’s; dotar os colaboradores de formação específica; documentar os processos de gestão de risco de TI; considerar a adopção de aplicações informáticas para apoio na gestão de risco, etc.);
RG2.5 – Avaliar de forma independente a gestão de risco de TI (obter uma avaliação independente sobre a performance das actividades de gestão de risco de TI).
RG3 – Tomar decisões com base no risco 9
Objectivo Garantir que as decisões são tomadas em plena consciência das
oportunidades e consequências da dependência da tecnologia adoptada.Actividades RG3.1 – Obter o patrocínio da gestão para as análises de risco de TI
(treinar os decisores na abordagem proposta de análise de risco; demonstrar as mais valias da análise de risco no processo de decisão, etc.)
RG3.2 – Aprovar as análise de risco de TI (garantir que o relatório de análise de risco tem a informação suficiente para a sua compreensão);
RG3.3 – Incluir aspectos de TI no processo de decisão estratégica da organização (ser proactivo e identificar aspectos de risco sobre decisões que ainda estão por tomar);
RG3.4 – Aceitar o risco de TI (de acordo com o nível de risco aceite); RG3.5 – Priorizar as respostas ao risco de TI (começar por aquelas que
têm maior impacto na redução do risco).
Avaliação do risco10
Objectivo Garantir que todos os riscos e oportunidades associadas às Tecnologias de Informação são devidamente identificadas, analisadas e apresentadas em linguagem de negócio. Métricas O impacto acumulado de eventos e incidentes tecnológicos não identificados no processo de gestão de risco de TI. Processos RE1 – Capturar informação; RE2 – Analisar o risco; RE3 – Manter um perfil de risco.
RE1 - Recolher informação 11
Objectivo Identificar informação relevante que permita uma efectiva identificação, análise e reporte do risco associado às Tecnologias de Informação. Actividades RE1.1 – Definir e manter um modelo de recolha, classificação e
análise de informação de risco de TI (ex. ameaças, vulnerabilidades, eventos de perda) sobre diversas categorias de risco;
RE1.2 – Recolher informação directamente sobre o ambiente operativo;
RE1.3 – Recolher informação sobre eventos de risco que tenham, ou possam ter, impacto em qualquer das categorias de risco;
RE1.4 – Identificar os factores de risco (determinar quais as condições existentes para potenciar o evento de perda).
12
Recolher informação A recolha de informação pode ser feita através de diversas metodologias: Entrevistas; Questionários; Workshops; Observação; Testes.
Categorias de Risco
13
Risco de estratégia: possibilidade da estratégia prosseguida e das políticas definidas na área dos sistemas de informação se revelarem desajustadas relativamente às actividades desenvolvidas; Risco de flexibilidade: incapacidade de adaptar os sistemas de informação e a sua funcionalidade a novas necessidades tempestivamente; Risco de acesso: probabilidade de ocorrem acessos não autorizados ou inapropriados aos sistemas de informação; Risco de integridade: probabilidade de a informação produzida pelos sistemas ser incorrecta, incompleta, inconsistente ou extemporânea; Risco de continuidade: probabilidade de ocorrência de falhas nos sistemas, com impacto na disponibilidade e recuperação da informação.
RE2 - Analisar o risco 14
Objectivo Desenvolver informação útil para suportar as decisões que levem em consideração
os factores de risco. Actividades RE2.1 – Definir o âmbito de cobertura da análise de risco (Decidir sobre a cobertura,
profundidade e o esforço a aplicar na análise de risco. Mapear os principais factores de risco com os processos de negócio considerados mais críticos);
RE2.2 – Estimar o risco (Dentro do âmbito de cobertura da análise de risco, estimar a frequência e magnitude de perda ou ganho associado aos cenários de risco de TI; Estimar o maior valor de perda possível; Avaliar os controlos e o seu efeito na frequência ou magnitude do impacto e factores de risco aplicáveis. Estimar o risco residual e compara-lo com a tolerância ao risco e identificar necessidades de acções de resposta ao risco.);
RE2.3 – Identificar as respostas ao risco (Identificar as opções de resposta ao risco disponíveis, tais como evitar, reduzir/mitigar, transferir/partilhar, ou aceitar. Documentar os racionais e os trade-offs de entre cada uma das opções. Identificar os custos e benefícios associados.);
RE2.4 – Rever a análise de risco (Efectuar uma revisão dos resultados da análise risco antes de a enviar para a gestão de topo para decisão. Confirmar se a análise está bem documentada e alinhada com os procedimentos da organização. Rever as bases de cálculo das estimativas de probabilidades de perdas).
Avaliação do risco - Cenários de risco
15
Duas abordagens a utilizar em conjunto: Top-Down – inicia com os objectivos de
negócio e segue a análise até aos mais prováveis cenários de risco de TI, dada a presença de TI nos processos de negócio.
Botton-Up – listam-se cenários genéricos que materializem riscos mais concretos.
Cenários de risco16
RE3 - Manter um perfil de risco17
Objectivo
Manter um inventário actualizado das características dos riscos (frequência e impactos prováveis), dos recursos de TI e dos controlos, tal como são conhecidos no contexto do negócio.
Actividades RE3.1 – Mapear os recursos de TI aos processos de negócio (Entender a
dependência do negócio nos recursos de TI); RE3.2 – Definir a criticidade dos recursos de TI para o negócio (Perceber
quais o recursos de TI que são críticos; Fazer uma abordagem Top-Down até às componentes físicas);
RE3.3 – Perceber a capacidade Tecnológica (Perceber se, em condições normais, os controlos são capazes de manter o risco dentro dos valores aceites pela organização);
RE3.4 – Actualizar as componentes da análise de cenários (Rever os valores dos componentes utilizados nos cenários de risco e ajustar de acordo a realidade observada);
RE3.5 – Manter um registo do risco de TI (manter atualizado o perfil de risco da organização);
RE3.6 – Desenvolver KRI’s (Desenhar métricas ou indicadores que tenham a capacidade de identificar os eventos ou incidentes que possam ter um impacto significativo no negócio).
Matriz de riscos18
Anexo excel
Resposta ao risco19
Objectivo Garantir que os eventos e as oportunidades associadas ao risco de TI, são devidamente tratados, de forma económica e alinhada com as prioridades de negócio. Métricas O impacto acumulado dos incidentes ou eventos de risco, antecipados pela avaliação de risco e ainda não tratados pelo processo de resposta de riscos. Processos RR1 – Articular o risco; RR2 – Gerir o risco; RR3 – Reagir aos eventos.
Resposta ao risco RR1 - Articular o risco
20
Objectivo
Garantir a disponibilidade e tempestividade da informação associada ao risco e às oportunidades de TI, permitindo desta forma que a gestão implemente as medidas necessárias para responder ao risco.
Actividades RR1.1 – Comunicar o resultado das análises de risco (reportar em formato
utilizável pelo processo de tomada de decisão; comunicar de forma clara no contexto de retorno do risco; quando possível incluir probabilidades de ganho ou perda, pior cenário e cenário mais provável).
RR1.2 – Reportar as actividades de gestão do risco de TI e estado de conformidade (responder às necessidades de informação de risco dos diversos stakeholders – ex. administração, comité de risco, funções de controlo, gestão. Incluir eficácia e eficiência dos controlos, acções de melhoria, eventos e incidentes).
RR1.3 – Interpretar eventos de TI identificados por terceiros (rever os resultados e eventos específicos feitos por terceiros – ex. Auditoria interna, garantia da qualidade, etc., mapear estes eventos ao perfil de risco e aos controlos falhados).
RR1.4 – Identificar oportunidades associadas às TI (de forma regular, considerar o nível de risco das TI, se estiver abaixo do apetite ao risco, identificar oportunidades e assumir mais risco para obter mais retorno).
RR2 - Gerir o risco21
Objectivo Garantir que as actividades de alavancagem das oportunidades e de
redução do risco até ao nível de tolerância, são geridas como um portfólio.
Actividades RR2.1 Inventariar controlos (para todas as áreas de risco, inventariar os
controlos existentes; classificar os controlos e associa-los a riscos específicos ou agregações de risco; desenhar testes para os controlos; identificar procedimentos e tecnologia para monitorizar a sua capacidade operativa).
RR2.2 Monitorizar o alinhamento entre as operações e os níveis toleráveis de risco (garantir que as áreas de negócio aceitam operar dentro dos níveis de risco definidos; monitorizar a performance dos controlos; para os riscos principais; testar o desenho e a eficácia dos controlos associados).
RR2.3 Responder a novos riscos e oportunidades (iniciar projectos que venham a reduzir a frequência ou magnitude de eventos e complementar com projectos que potenciem componentes estratégicas do negócio).
RR2.4 Implementar controlos (desenvolver novos controlos e ajustar os já existentes; testar o controlo antes de confiar no mesmo; inventariar o novo controlo e mapeá-lo com os procedimentos de monitorização).
RR2.5 Reportar progressos do plano de risco tecnológico (monitorizar os planos de acção, garantindo a eficácia das medidas propostas).
Key Risk Indicators 22
São métricas capazes de demonstrar que a organização está exposta a um determinado risco e que por sua vez, este pode exceder o apetite ao risco.
São específicos da organização para o qual foram definidos.
RR3 - Reagir aos eventos23
Objectivo Garantir que as medidas para alavancar as oportunidades ou limitar a frequência e magnitude de um evento relacionado com as TI’s são atempada e efectivamente aplicadas. Actividades RR3.1 – Planos de reposta a incidentes (preparar para a materialização
das ameaças através de planos que documentem o que fazer em caso de ocorrência).
RR3.2 – Monitorizar o risco de TI (monitorizar o ambiente de controlo e avaliar quando um controlo atinge os seus limites, categorizar incidentes e comparar as exposições reais com os níveis aceites. Comunicar os impactos no negócio aos decisores).
RR3.3 – Iniciar a resposta ao incidente (tomar acção para minimizar o impacto do incidente; identificar a categoria do incidente e seguir o plano de resposta ao incidente; informar os stakeholders e partes afectadas).
RR3.4 Comunicar as lições aprendidas (rever eventos oportunidades passadas; perceber as razões da falha; identificar eventos semelhantes e avaliar se foram tomadas medidas correctivas).
Prioritização e resposta ao risco 24
Evitar o risco Evitar significa abandonar as actividades ou condições que representem risco. Evitar o risco aplica-se quando nenhuma outra resposta ao risco é adequada. Como por exemplo: Não existe uma resposta económica que consiga reduzir a
frequência ou o impacto até ao níveis do apetite de risco definido; O risco não pode ser evitado ou transferido; O risco é inaceitável para a gestão de topo. Reduzir o risco/mitigação Redução do risco significa tomar medidas que detectem o risco, seguidas de medidas com a capacidade de reduzir a sua frequência e/ou impacto. As formas mais comuns de mitigar o Risco são: Fortalecer as práticas de gestão de risco; Introduzir um conjunto de medidas de controlo.
Prioritização e resposta ao risco 25
Partilha/transferência do risco Partilhar significa reduzir a frequência ou impacto do risco através da transferência ou partilha de uma parte do risco. As formas mais comuns de partilha ou transferência do risco passam pela aplicação de um seguro ou pelo outsourcing. Estas técnicas não aliviam o risco da organização, mas permitem a utilização de recursos de outra organização no apoio à gestão do risco e reduzem o seu impacto financeiro.
Aceitação do risco A aceitação significa que não serão tomadas acções relativamente a um determinado risco e o seu impacto financeiro é aceite. É diferente de ignorar o risco, significa que o mesmo é conhecido, e que as decisões são tomadas tendo conhecimento do mesmo. A aceitação do risco de TI deverá ser feita unicamente pelos responsáveis dos processos de negócio, com o apoio dos responsáveis pelo TI, e devidamente comunicada à gestão de topo.