prof. msc mário sérgio ribeiro, la 27001 - abbc.org.br · prof. msc mário sérgio ribeiro, la...

A importância da Auditoria de Terceiros ContratadosCopyright ENIGMA CONSULTORIA 1

Prof. MSc Mário Sérgio Ribeiro, LA 27001Sócio-Diretor da ENIGMA CONSULTORIA

[email protected]@uol.com.br


Currículo resumido do Instrutor

• Mestre em Segurança da Informação pela USP;• Pós graduado em Computação e Gerência de Projetos;• Certificado Internacional como Auditor Líder ISO 27001;• Coordenador e Professor da FIA/USP;• 27 anos de experiência em TI, Segurança da Informação,

Continuidade de Negócios, Risco, Compliance e Auditoria;• Mais de 250 projetos concluídos na carreira;• 19 anos de experiência acadêmica;• Sócio-Diretor da Enigma Security Consultoria e Treinamento;• Ex CSO do Grupo Pão de Açúcar;• Outras passagens de sucesso: Grupo Itaú, Alpargatas e CPM;• Palestrante do CNASI desde 2002;• Diretor de Educação da ISACA de 2003-2006;• Mais de 2500 pessoas treinadas em seus cursos;• BACEN, BNDES, Bradesco, Itaú, Santander, HSBC, Unibanco,

Petrobras, Serasa, Porto Seguro são algumas das mais de 500 empresas que tiveram seus profissionais treinados pelo prof. Mário Sérgio Ribeiro.


1. INTRODUÇÃO

2. A TERCEIRIZAÇÃO COMO UM MODELO DE NEGÓCIOS

3. RISCOS DE SEGURANÇA DA INFORMAÇÃO NA TERCEIRIZAÇÃO

4. RISCOS DA GCN NA TERCEIRIZAÇÃO

5. A AUDITORIA PERIÓDICA

6. O PROCESSO DE UMA AVALIAÇÃO INDEPENDENTE

AGENDA DA PALESTRA


_______________________________________________________________

1. INTRODUÇÃO1.1 Visão Geral sobre a Terceirização

1.2 Visão Geral sobre a Gestão do Risco

1.3 Qual é o problema?

1.4 Alguns Números de Pesquisa

1.5 Normas e Referências nacionais e internacionais sobre

a Gestão do Risco

1.6 O PL 1621 em tramitação na Câmara que regulamenta

a Terceirização no país

____________________________________________________


1.1 Visão Geral sobre a Terceirização

� Denominação utilizada quando organizações transferem para um

prestador de serviços a responsabilidade pela realização de tarefas

até então executadas internamente e com recursos próprios;

� Predomínio ainda de atividades consideradas não estratégicas, tais como alimentação, segurança, limpeza, manutenção predial, etc., para que a empresa concentre seus esforços nas estratégias, estimuladas pela elevada competitividade do mercado atual;

� O processo de terceirização é amplamente regulado pela lei 6019/74 e pelo decreto lei n 73841/74 e posteriormente flexibilizado pelo enunciado n. 331, viabilizando a terceirização nos serviços ligados à atividade meio do tomador.

1. INTRODUÇÃO



Fatores que levam as empresas brasileiras a terceirizar

• Adequação da escala de produção;

• Padrão satisfatório de capacidade de produção;

• Racionalização administrativa;

• Amenizar problemas econômicos conjunturais no curto prazo;

• Interação tecnológica;

• Ganhos de escala;

• Mudança no ponto de equilíbrio das empresas;

• Novas oportunidades.

1. INTRODUÇÃO



Vantagens

• Foco maior no “core business”;

• Alternativa para melhorar a qualidade do produto ou serviço e

também a produtividade;

• Concentração de esforços na sua própria área produtiva, naquilo

que é especializada, reduzindo os custos, principalmente os fixos,

transformando-os em variáveis e aumentando os lucros da

empresa, ganhando economia de escala, com a eliminação de

desperdícios;

1. INTRODUÇÃO



Desvantagens

• Administração dos riscos advindos de contratar empresas

inadequadas para realizar os serviços sem a competência,

idoneidade financeira e sem a prática de métodos e padrões de

conduta administrativa reconhecidas pelo mercado;

• Do risco de apenas terceirizar como forma de reduzir custos. Caso

esse objetivo não seja alcançado, implicará no desprestígio de todo

o processo.

1. INTRODUÇÃO


_______________________________________________________________





a Terceirização no país ____________________________________________________


_______________________________________________________________








• Acredita-se na tal intuição, feeling, “olho no olho”, mas e o Risco?

• O ser humano é sempre propenso a confiar e acreditar, sem verificar, sem conferir, sem auditar...Confia-se e ponto!;

• A ideia da Terceirização se banalizou, e virou quarteirização, quinterização...mas a responsabilidade objetiva é SUA! Você équem paga a conta para o seu cliente;

• Terceirizo, porque reduz custo, não tenho braço para fazer e resolvo meu problema...mas e o Terceiro, toma conta dele mesmo?;

• Gerir o risco toma tempo, é trabalhoso, quanto mais de terceiro, que ainda por cima, pode estar fora de minha empresa.

1. INTRODUÇÃO


_______________________________________________________________








IV Pesquisa nacional - 2006.doc

ANÁLISE DOS RESULTADOS

• As respostas indicam pleno conhecimento das empresas sobre as aplicações da

Terceirização;

• A maioria das empresas já aplicam algum tipo de serviços terceirizado;

• Parte das empresas implantam a Terceirização por iniciativa própria; e outra

utilizam-se de serviços de Consultoria para orientar a implantação;

• Das atividades terceirizadas já implantadas destacam-se serviços tradicionais

1. INTRODUÇÃO


• Dos serviços terceirizados contratados, predominam empresas já com experiência

no mercado em relação a empresas criadas por ex-funcionários ;

• Uma das conclusões mais importantes da pesquisa é que muitas empresas ainda

implantam a Terceirização sem um plano estratégico que lhe dê uma visão global

de todo o processo e consequências envolvidas;

• Das principais vantagens obtidas com a implantação da Terceirização estão:- Foco maior no “core business”- Melhores resultados no conjunto das ações da empresa - Redução de custos

• Após a implantação da Terceirização destacou-se o aumento da qualidade como

resultado do processo;

1. INTRODUÇÃO


• Ao mesmo tempo, a maioria das empresas tiveram redução de 20% de custo nas operações terceirizadas;

• Também, a grande maioria das empresas responderam que houve uma redução de 10% a 25% do quadro funcional, com a implantação da Terceirização;

• Dos principais fatores restritos à implantação da Terceirização, destacam-se:- a dificuldade de se encontrar parceiro ideal em determinadas regiões;- não atendimento à qualidade dos serviços,;- dificuldade de se contratar empresas com Certificado de Qualidade;

• Grande maioria das empresas prestadoras de serviços não têm avaliação periódica e indicação de índices de desempenho dos serviços terceirizados;

• Não empregam tecnologia e nem a reciclam ficam a desejar quanto à qualidade dos serviços prestados;

1. INTRODUÇÃO


• Ainda há problemas trabalhistas com a contratação de serviços terceirizados;

• A grande maioria continuará a utilizar serviços terceirizados nos próximos anos;

• O valor médio/ano de contratos de serviços terceirizados está acima de R$ 200.000,00 (duzentos mil reais);

• A grande maioria preferiria contratar empresas prestadoras de serviços com Certificado de Qualidade e considera este fator importante na decisão;

• A escolha da empresa prestadora de serviços tem como base, principalmente:- a qualificação técnica de seus profissionais,- o emprego de tecnologia,- conhecimento dos serviços prestados em outros clientes.

1. INTRODUÇÃO


..\..\..\PROFISSIONAL\Segurança da Informação\Pesquisas\2006 - Ernst Young -

Segurança da Informação.pdf

ANÁLISE DOS RESULTADOS (ADMINISTRAÇÃO DOS RISCOS COM TERCEIROS)

• Mais de um terço dos participantes afirmou ter procedimentos formais de

administração do risco de fornecedores. Para muitos, isso leva à confiança de

que

a administração do risco de fornecimento está sob controle;

• Em contrapartida, dois terços das empresas entrevistadas acreditam que seus

fornecedores são capazes de cumprir suas políticas, procedimentos e normas;

• Com relação a administração de risco do fornecedor, apenas 6% das empresas

utilizam processos formais validados por terceiros;

1. INTRODUÇÃO


..\..\..\PROFISSIONAL\Segurança da Informação\Pesquisas\2006 - Ernst Young - Segurança da Informação.pdf

ANÁLISE DOS RESULTADOS (ADMINISTRAÇÃO DOS RISCOS COM TERCEIROS)

• Outro terço dos entrevistados informou tratar os assuntos relacionados ao

risco

do fornecimento apenas de modo informal, em contraposição a 21% que não

abordam a questão;

• A prática de “confiar, mas verificar”, atualmente apenas 14% das empresas que

dependem de fornecedores exigem que eles submetam suas práticas de

segurança e privacidade das informações a uma análise independente.

1. INTRODUÇÃO


FEBRABAN 2006

SERVIÇOS TERCEIRIZADOS (EM %)

• 68% DOS SERVIÇOS DE TELECOM• 62% DOS SERVIÇOS DE IMPRESSÃO DE DOCUMENTOS• 52% DO PROCESSAMENTO DE CARTÕES• 52% DO DESENVOLVIMENTO DE NOVOS SISTEMAS DE

INFORMAÇÃO• 48% DOS SERVIÇOS DA CENTRAL DE ATENDIMENTO A USUÁRIOS

(HELP DESK)• 43% DA MANUTENÇÃO DO SISTEMA EXISTENTE

1. INTRODUÇÃO


_______________________________________________________________







1.4 O PL 1621 em tramitação na Câmara que regulamenta a Terceirização no país

..\CURSOS\GRT - gestão de risco da terceirização\PROJETO DE LEI Nº 1621.pdf

1. INTRODUÇÃO


_______________________________________________________________


2.1 As motivações e os desafios2.2 Alternativas de seleção de fornecedores de serviços

terceirizados2.3 Os papéis e responsabilidades da empresa e do

fornecedor de serviços2.4 A contratação de provedores para serviços (o processo,

os desafios, os fatores chaves de sucesso)____________________________________________________


2.1 As Motivações e os Desafios

Terceirização é tipicamente uma decisão que envolve múltiplos

atributos de análise e múltiplos decisores, que tendem a enfatizar

diferentes aspectos da decisão. Os aspectos envolvidos incluem:

• Redução de custos

• Aquisição de capacidade

• Melhoria de controle da atividade

• Liberação de recursos de investimento em atividades centrais

Ultimamente tem sido observadas decisões de terceirização que não se baseiam unicamente em aspectos como o custo da transação, mas envolvem a parceria que resulte em inovações (TI)



2.1 As Motivações e os Desafios

• Passa-se a considerar a possibilidade de contratos mais gerais,

onde haja um compartilhamento de riscos e benefícios mais

igualitário, e onde os critérios de mensuração gradualmente

deixam de medir os aspectos operacionais do processo para,

cada vez mais, enfatizar os resultados do negócio;

• Conforme a perspectiva de contratação de terceiros envolva

aspectos crescentemente estratégicos, os resultados tendem

a ser cada vez mais difíceis de serem avaliados. Isso ocorre

porque o resultado final levará a empresa contratante a uma

posição na qual ela nunca esteve antes. Processos serão

conduzidos de forma inovadora, e por isso, valores precisam

ser reaprendidos.



_______________________________________________________________







2.2 Alternativas de seleção de fornecedores de serviços terceirizados

• normalmente a decisão sobre terceirização envolve a análise

de várias alternativas diferentes entre si. E, não existe

alternativa que seja a melhor em todos os aspectos a serem

avaliados;

• as falhas de percepção dos avaliadores aumentam as

dificuldades do julgamento das alternativas. Isso ocorre pela

assimetria de informações, situação em que o decisor não tem

todos os detalhes necessários para produzir um julgamento

completo e perfeito sobre o que precisa ser decidido



2.2 Alternativas de seleção de fornecedores de serviços terceirizados

• quando isso acontece, fatores de subjetividade podem fazer

parte do julgamento do decisor. A assimetria de informações

pode ocorrer por várias razões, como o desconhecimento

sobre detalhes técnicos do que vai ser fornecido, incapacidade

de avaliar informações do provedor, etc;

• outra dificuldade envolve a percepção do risco. Os gestores são

muito mais avessos a risco do que seria de se esperar, tendo

em vista as decisões que tomam;

• os gestores incluem aspectos pessoais na decisão de negócio,

como por exemplo, um mau resultado da decisão e a sua

carreira.



_______________________________________________________________







2.3 Os papéis e responsabilidades da empresa e do fornecedor de serviços

• Entendendo melhor a distribuição de papéis e

responsabilidades que a terceirização impõe, é possível

planejar uma série de atividades que “conspirem” para o

sucesso do modelo de negócios adotado;

• Essa avaliação de papéis e responsabilidades precisa ser

discutida com os terceiros envolvidos: verificar se sua

percepção é convergente ou não, e procurar entender quão

preparados esses terceiros estão para ocupar a posição

apontada para o modelo de negócios;




• os líderes de negócio precisam lembrar, que passam a ser

responsáveis moralmente por um conjunto adicional de

profissionais (os terceiros). Esses profissionais não tem vínculo

legal com a empresa contratada dos serviços terceirizados, mas

sua carreira e seu futuro estão ligados a essa empresa;

• Os terceiros devem combater a ideia de que seus funcionários

ou subcontratados são apenas “recursos” que precisam estar

alocados para justificar sua existência.

• Contratantes e terceiros devem caminhar para modelos de

cadeia de valor que dependam cada vez mais da excelente




performance de cada participante.

- Programas regulares de revisão da estratégia do negócio,

- Planejamento da aplicação de novas tecnologias,

- Treinamento do pessoal,

- Avaliação do processo de relacionamento com os clientes,

- Avaliação da eficácia no uso de ativos,

- Apuração do clima organizacional, e várias outras questões

para medir e manter a saúde do negócio são necessários

para continuar na disputa por um espaço lucrativo no

mercado.



_______________________________________________________________




fornecedor de serviços2.4 A contratação de provedores para serviços (o

processo, os desafios, os fatores chaves de sucesso)____________________________________________________


2.4 A contratação de provedores para serviços (o processo, os desafios, os fatores chaves de sucesso)

2.4.1 O Processo de Contratação

O processo de contratação de provedores para serviços terceirizados

envolve, geralmente, as etapas expostas na figura a seguir:




2.4.1 O Processo de Contratação




2.4.2 Os Fatores chaves de sucesso na Contratação

Os fatores críticos no modelo terceirizado estão diretamente

relacionados à competência na contratação do provedor para

esses serviços. São eles:

- Redução de Riscos - Postura colaborativa

- Controle Estratégico - Contingências

- Responsabilidades - Bons processos próprios doestratégicas internas fornecedor.definidas




2.4.3 Os Principais Desafios a superar na Terceirização

Além do que já foi apontado, atenção especial deve ser dada aos

principais desafios que precisarão ser superados para que as

operações terceirizadas tenham sucesso. São eles:

- Riscos de continuidade - Aumento de dependência e de

negócios - Turnover na Terceirização

- Perda de flexibilidade - Treinamento no “serviço”

- Compartilhamento de recursos do provedor



_______________________________________________________________

3. RISCOS DE SEGURANÇA DA INFORMAÇÃO NA TERCEIRIZAÇÃO

3.1 Exemplos de Incidentes3.2 Pilares da Segurança da Informação3.3 Componentes da SI3.4 Anatomia do Problema3.5 Riscos de SI Antes e Durante a Contratação_________________________________________________


3.1 EXEMPLOS DE INCIDENTES

Pode acontecer em sua empresa?

• Uma empresa terceirizada de call center é acusada de vazar informações

privadas de seus clientes. O caso ganha as páginas dos jornais e seus clientes

entram com uma ação coletiva acusando sua empresa de negligência, entre

outros. Custo: R$ 5 milhões em indenização e imagem abalada.

• Uma grande inundação destrói parte do CPD do banco. O custo: um custo

de reconstrução de 10%, $ 200 milhões em ativos perdidos e receitas de

clientes mais baixas resultando em uma redução de 5% nos lucros.

• Uma empresa terceirizada que hospedava todo o ambiente de e-commerce

de sua empresa sofre um incêndio e você descobre que não existia nenhum

plano de contingência e continuidade de negócios de seu terceiro.

Custo: uma perda de receita estimada de $ 2 milhões.

3. RISCOS DE SI NA TERCEIRIZAÇÃO


INSTITUIÇÃO ATIVIDADE ANO PERDA EM US$ MILHÕES

Daiwa Bank, NY Negociação não autorizada de bônus devido a maus controles gerenciais

1984-95 1,100

Sumitomo Corp, Londres

Negociação não autorizada de cobre, fraude e falsificação

1986-96 1,700

Barings, Cingapura

Controle inadequado de negociação de futuros – especialmente másegregação de tarefas

1995 1,600

Crédit Lyonnais Mau controle de empréstimos Anos 80-90

29,000

Bancos varejistas e corporações dos EUA

Fraude de cheques 1993 12,000

Deutsche Bank Investimento fora de alçada 1996 600



3.2 PILARES DA SEGURANÇA DA INFORMAÇÃO

• Confidencialidade: somente pessoas devidamente autorizadas

tem acesso à informação e/ou local físico (vazamento de

informação).

• Integridade: a informação se mantém completa, suficiente e

confiável após qualquer processo (fraude).

• Disponibilidade: a informação estará sempre disponível a quem

tem autorização para acessá-la (falhas em TI).



3.3 COMPONENTES DA SEGURANÇA DA INFORMAÇÃO

• Pessoas (internas e externas)

• TI

• Infraestrutura

• Processos



FATORES DO RISCO

Fatores de Risco Componentes Categorias de Eventos de Perda

• Pessoas - Habilidade específica- Desempenho- Ambiente de trabalho

• Fraudes• Vazamento de Informação• Práticas Empregatícias e

segurança no trabalho• Danos a ativos físicos• Interrupção de negócios e

falhas em sistemas tecnológicos porsabotagem

• Acesso físico nãoautorizado

• Falhas de execução, distribuição ou de processos gerenciais

• Sistemas - Estrutura tecnológica- Falha tecnológica

• Infraestrutura - Falha na segurança física

• Processos - Modelagem- Conformação com a legislação



3.4 ANATOMIA DO PROBLEMA

• Falta de verificação de credenciais ANTES da contratação;

• Falta de visita in loco antes e durante o contrato;

• Desconhecimento do nível de maturidade administrativa da

empresa (organização, definição de processos, treinamento de

pessoas, etc.);

• Desconhecimento do nível de maturidade em segurança da

informação;

• Falta de cultura da empresa contratante quanto aos impactos

que riscos de SI podem proporcionar.



3.5 RISCOS DE SI - ANTES E DURANTE A CONTRATAÇÃO

• Inexistência de uma cultura de SI praticada pelo Terceiro em seu

próprio ambiente (análise de risco periódica, política de

segurança, conscientização de pessoas, implementação de

controles com base na análise de risco, monitoramento);

• Falta de processos estabelecidos de SI no trabalho com

informações de contratante (no ambiente do Terceiro e no

ambiente do Contratante);

• Terceiro com baixo nível de organização administrativa (p.ex.:

falta de boas práticas na contratação de pessoas)



RISCO = é a combinação das conseqüências advindas da ocorrência de um

evento indesejado e da probabilidade da ocorrência do mesmo.


A importância da Auditoria de Terceiros ContratadosCopyright ENIGMA CONSULTORIA



Tabela 1 – Alinhamento entre o ciclo PDCA e o processo de

Gestão do Risco de SI.

CICLO PDCA PROCESSO DE GESTÃO DE RISCO DE SI

Definição do Contexto

Análise/avaliação de riscos

Plano de tratamento do risco

Aceitação do risco

PLANEJAR

EXECUTAR Implementação do plano de tratamento do risco

VERIFICAR

AGIR

Monitoramento contínuo e análise crítica de riscos

Manter e melhorar o processo de gestão de riscos de SI



_______________________________________________________________

4. RISCOS DA GESTÃO DA CONTINUIDADE DENEGÓCIOS

4.1 Introdução a GCN4.2 O escopo de proteção da GCN4.3 Fases de um projeto de PCN4.4 Análise do Risco do Terceiro no PCN_________________________________________________


DESASTRES ou uma INTERRUPÇÃO PROLONGADA acontecem e não

avisam. A Gestão da Continuidade de Negócios existe para minimizar o impacto advindo desses eventos:

4.1 INTRODUÇÃO AO GCN


NEGÓCIOS são vulneráveis ao impacto de não somente as principais calamidades apontadas, mas também em rupturas menores.

Fatores como um aumento da dependência tecnológica e pressões do mercado tem tornado os negócios sensíveis a rupturas menores.

Alguns exemplos dessas rupturas são:

• Falha no fornecimento de energia

• Falhas em sistemas de TI

• Gripe Influenza

• Distúrbios civis

4.1 INTRODUÇÃO A GCN


CONTINUIDADE DE NEGÓCIOS é:

•Uma disciplina que prepara uma organização para manter a

continuidade de seus negócios durante um desastre ou uma

interrupção prolongada, através da implementação de um Plano da

Continuidade de Negócios (PCN).

Um PCN é:•Um documento que contém atividades e procedimentos para ajudar a recuperar e restaurar recursos e processos rompidos dentro de um tempo de recuperação considerado ideal.

4.1 INTRODUÇÃO A GCN


Pessoas

Instalações

Tecnologia da Informação

Informações não custodiadas por TI

Suprimentos

Terceiros, Fornecedores,Acionistas

Recursos Típicos considerados na Gestão da Continuidade de Negócios (GCN)

Escopo de proteção dos recursos do GCN

Ameaças Externas

4.2 O ESCOPO DE PROTEÇÃO DA GCN


4.3 FASES DE UM PROJETO DE PCN

Criar Política de continuidade de negócios

Estabelecer um Comitê para o PCN

Início PCN

Estabelecer um projeto de desenvolvimento para o PCN

Estabelecer um Programa de conscientização e treinamento em PCN

Coordenar PCN com Leis, regulamentos e padrões da indústria

Coordenar com outras entidades interna/externa relacionadas ao PCN

Projeto de desenvolvimento do plano

PCN completado

Manter prontidão ao desastre

ExecutarPCN

Ruptura dos negócios

Tempo

Análise do RiscoManutençãodo PCN e Teste regular

Treinar e Testar

BIA

Desenvolvimento daestratégia de continuidade

Desenvolvimento do PCN


Processo de planejamento da continuidade de negócios

Define um ciclo de vida para desenvolver e manter um PCN. O modelo de ciclo de

vida do processo do PCN consiste das seguintes fases:

4.3 FASES DE UM PROJETO DE PCN


O QUE DEVE SER FEITO NA FASE 3 DO PROJETO

• Definir quais são os Terceiros mais críticos para a empresa;

• Solicitar ao Terceiro que prepare uma apresentação sobre como

ele trata o tema da Continuidade dos Negócios dele;

• Marcar a visita à instalação do Terceiro;

• Ver a apresentação e anotar os pontos fortes e fracos;

• Realizar uma vistoria pela instalação do Terceiro;

• Se existir, visitar o site alternativo de pessoas e de TI;

• Preparar um relatório com base no risco.

4.4 ANÁLISE DO RISCO DO TERCEIRO NO PCN


_______________________________________________________________

5. AUDITORIA PERIÓDICA5.1 Auditar Terceiro é parte do Programa5.2 Periodicidade dessa Auditoria5.3 O Relatório e a análise ______________________________________________


5.1 AUDITAR TERCEIRO É PARTE DO PROGAMA

A Auditoria de Terceiros em SI e na GCN deve fazer

parte do Programa Anual de Auditoria e

consequentemente, do orçamento anual da área.

Lembre-se: alguns Terceiros podem estar

desempenhando alguns processos e atividades críticas

maiores que algumas áreas de sua empresa.

5. AUDITORIA PERIÓDICA


5.2 PERIODICIDADE DESSA AUDITORIA

Deve ser determinada em função da criticidade do

Terceiro para com os negócios da empresa. O mínimo

que se aceita é que seja realizada pelo menos uma vez

por ano.



5.3 O RELATÓRIO E A ANÁLISE

Deve ser mostrado detalhadamente ao Terceiro o

resultado da Auditoria, e como em qualquer processo

de auditoria, deve ser fornecido um prazo para que ele

atenda as não-conformidades encontradas. Se for do

interesse da empresa cliente, um Plano de Ação deve

ser entregue ao Terceiro.



_______________________________________________________________

6. O PROCESSO DE UMA AVALIAÇÃOINDEPENDENTE

6.1 Vantagens e Desvantagens da Contratação6.2 Um modelo baseado em nível de maturidade ______________________________________________


6.1 PRÓS E CONTRAS DA CONTRATAÇÃO

Prós

• Grau de especialização;

• Experiência trazida de outras auditorias;

• Recursos Humanos que a empresa não dispõe (braço);

• Sem qualquer tipo de vínculo com o Terceiro.

Contras

• Não há cultura da empresa e portanto, não há $$$;

• Algum impedimento contratual na relação com Terceiro ou

outro qualquer.



6.2 UM MODELO BASEADO NO NÍVEL DE MATURIDADE

NÍVEL DE MATURIDADE 1:•A estruturação da área ou pelo menos uma pessoa foi designada como responsável pela segurança da informação na empresa;•A existência e publicação da Política Geral de Segurança da Informação;•A existência e publicação das Normas que devem complementar a PGSI;•Um programa de conscientização dos usuários sobre as diretrizes da PGSI e das Normas Complementares.



NÍVEL DE MATURIDADE 2:

•Os riscos de SI e a resposta aos riscos são identificados por meio

das atividades de análise, avaliação e plano de mitigação;

•Por meio do Plano de Mitigação do Risco de SI proposto, ocorre a

implementação dos controles (projetos) de SI que irão gerar o

Programa de SI (projetos selecionados) em um determinado período

(anual, p.ex.)




•O Comitê Gestor de SI é estabelecido com missão e objetivos

definidos;

•Existe o monitoramento e gerenciamento do sistema de controles

implementado, por meio dos projetos do Programa de SI;

•É estabelecido um processo de coleta e resposta a incidentes de SI.




•Os Indicadores de performance e indicadores de metas para SI (KPIs

e KGIs) é definido e estabelecido;

•Existe um processo de coleta do KPIs e KGIs;

•Comparação dos KPIs e KGIs com os alvos e com a indústria.




•A avaliação periódica do Risco de SI é estabelecida e implementada;

•Estabelecimento pelo Comitê de SI das ações a serem tomadas em

face de novas avaliações de risco, incidentes de SI e resultados dos

KPIs e KGIs.



Obrigado!

[email protected]

prof. msc mário sérgio ribeiro, la 27001 - abbc.org.br · prof. msc mário sérgio ribeiro, la...

Documents