prof. msc mário sérgio ribeiro, la 27001 - abbc.org.br · prof. msc mário sérgio ribeiro, la...
TRANSCRIPT
A importância da Auditoria de Terceiros ContratadosCopyright ENIGMA CONSULTORIA 1
Prof. MSc Mário Sérgio Ribeiro, LA 27001Sócio-Diretor da ENIGMA CONSULTORIA
[email protected]@uol.com.br
A importância da Auditoria de Terceiros ContratadosCopyright ENIGMA CONSULTORIA 2
Currículo resumido do Instrutor
• Mestre em Segurança da Informação pela USP;• Pós graduado em Computação e Gerência de Projetos;• Certificado Internacional como Auditor Líder ISO 27001;• Coordenador e Professor da FIA/USP;• 27 anos de experiência em TI, Segurança da Informação,
Continuidade de Negócios, Risco, Compliance e Auditoria;• Mais de 250 projetos concluídos na carreira;• 19 anos de experiência acadêmica;• Sócio-Diretor da Enigma Security Consultoria e Treinamento;• Ex CSO do Grupo Pão de Açúcar;• Outras passagens de sucesso: Grupo Itaú, Alpargatas e CPM;• Palestrante do CNASI desde 2002;• Diretor de Educação da ISACA de 2003-2006;• Mais de 2500 pessoas treinadas em seus cursos;• BACEN, BNDES, Bradesco, Itaú, Santander, HSBC, Unibanco,
Petrobras, Serasa, Porto Seguro são algumas das mais de 500 empresas que tiveram seus profissionais treinados pelo prof. Mário Sérgio Ribeiro.
A importância da Auditoria de Terceiros ContratadosCopyright ENIGMA CONSULTORIA 3
1. INTRODUÇÃO
2. A TERCEIRIZAÇÃO COMO UM MODELO DE NEGÓCIOS
3. RISCOS DE SEGURANÇA DA INFORMAÇÃO NA TERCEIRIZAÇÃO
4. RISCOS DA GCN NA TERCEIRIZAÇÃO
5. A AUDITORIA PERIÓDICA
6. O PROCESSO DE UMA AVALIAÇÃO INDEPENDENTE
AGENDA DA PALESTRA
A importância da Auditoria de Terceiros ContratadosCopyright ENIGMA CONSULTORIA 4
_______________________________________________________________
1. INTRODUÇÃO1.1 Visão Geral sobre a Terceirização
1.2 Visão Geral sobre a Gestão do Risco
1.3 Qual é o problema?
1.4 Alguns Números de Pesquisa
1.5 Normas e Referências nacionais e internacionais sobre
a Gestão do Risco
1.6 O PL 1621 em tramitação na Câmara que regulamenta
a Terceirização no país
____________________________________________________
A importância da Auditoria de Terceiros ContratadosCopyright ENIGMA CONSULTORIA 5
1.1 Visão Geral sobre a Terceirização
� Denominação utilizada quando organizações transferem para um
prestador de serviços a responsabilidade pela realização de tarefas
até então executadas internamente e com recursos próprios;
� Predomínio ainda de atividades consideradas não estratégicas, tais como alimentação, segurança, limpeza, manutenção predial, etc., para que a empresa concentre seus esforços nas estratégias, estimuladas pela elevada competitividade do mercado atual;
� O processo de terceirização é amplamente regulado pela lei 6019/74 e pelo decreto lei n 73841/74 e posteriormente flexibilizado pelo enunciado n. 331, viabilizando a terceirização nos serviços ligados à atividade meio do tomador.
1. INTRODUÇÃO
A importância da Auditoria de Terceiros ContratadosCopyright ENIGMA CONSULTORIA 6
1.1 Visão Geral sobre a Terceirização
Fatores que levam as empresas brasileiras a terceirizar
• Adequação da escala de produção;
• Padrão satisfatório de capacidade de produção;
• Racionalização administrativa;
• Amenizar problemas econômicos conjunturais no curto prazo;
• Interação tecnológica;
• Ganhos de escala;
• Mudança no ponto de equilíbrio das empresas;
• Novas oportunidades.
1. INTRODUÇÃO
A importância da Auditoria de Terceiros ContratadosCopyright ENIGMA CONSULTORIA 7
1.1 Visão Geral sobre a Terceirização
Vantagens
• Foco maior no “core business”;
• Alternativa para melhorar a qualidade do produto ou serviço e
também a produtividade;
• Concentração de esforços na sua própria área produtiva, naquilo
que é especializada, reduzindo os custos, principalmente os fixos,
transformando-os em variáveis e aumentando os lucros da
empresa, ganhando economia de escala, com a eliminação de
desperdícios;
1. INTRODUÇÃO
A importância da Auditoria de Terceiros ContratadosCopyright ENIGMA CONSULTORIA 8
1.1 Visão Geral sobre a Terceirização
Desvantagens
• Administração dos riscos advindos de contratar empresas
inadequadas para realizar os serviços sem a competência,
idoneidade financeira e sem a prática de métodos e padrões de
conduta administrativa reconhecidas pelo mercado;
• Do risco de apenas terceirizar como forma de reduzir custos. Caso
esse objetivo não seja alcançado, implicará no desprestígio de todo
o processo.
1. INTRODUÇÃO
A importância da Auditoria de Terceiros ContratadosCopyright ENIGMA CONSULTORIA 9
_______________________________________________________________
1. INTRODUÇÃO1.1 Visão Geral sobre a Terceirização
1.2 Qual é o problema?
1.3 Alguns Números de Pesquisa
1.4 O PL 1621 em tramitação na Câmara que regulamenta
a Terceirização no país ____________________________________________________
A importância da Auditoria de Terceiros ContratadosCopyright ENIGMA CONSULTORIA 10
_______________________________________________________________
1. INTRODUÇÃO1.1 Visão Geral sobre a Terceirização
1.2 Qual é o problema?
1.3 Alguns Números de Pesquisa
1.4 O PL 1621 em tramitação na Câmara que regulamenta
a Terceirização no país ____________________________________________________
A importância da Auditoria de Terceiros ContratadosCopyright ENIGMA CONSULTORIA 11
1.2 Qual é o problema?
• Acredita-se na tal intuição, feeling, “olho no olho”, mas e o Risco?
• O ser humano é sempre propenso a confiar e acreditar, sem verificar, sem conferir, sem auditar...Confia-se e ponto!;
• A ideia da Terceirização se banalizou, e virou quarteirização, quinterização...mas a responsabilidade objetiva é SUA! Você équem paga a conta para o seu cliente;
• Terceirizo, porque reduz custo, não tenho braço para fazer e resolvo meu problema...mas e o Terceiro, toma conta dele mesmo?;
• Gerir o risco toma tempo, é trabalhoso, quanto mais de terceiro, que ainda por cima, pode estar fora de minha empresa.
1. INTRODUÇÃO
A importância da Auditoria de Terceiros ContratadosCopyright ENIGMA CONSULTORIA 12
_______________________________________________________________
1. INTRODUÇÃO1.1 Visão Geral sobre a Terceirização
1.2 Qual é o problema?
1.3 Alguns Números de Pesquisa
1.4 O PL 1621 em tramitação na Câmara que regulamenta
a Terceirização no país ____________________________________________________
A importância da Auditoria de Terceiros ContratadosCopyright ENIGMA CONSULTORIA 13
1.3 Alguns Números de Pesquisa
IV Pesquisa nacional - 2006.doc
ANÁLISE DOS RESULTADOS
• As respostas indicam pleno conhecimento das empresas sobre as aplicações da
Terceirização;
• A maioria das empresas já aplicam algum tipo de serviços terceirizado;
• Parte das empresas implantam a Terceirização por iniciativa própria; e outra
utilizam-se de serviços de Consultoria para orientar a implantação;
• Das atividades terceirizadas já implantadas destacam-se serviços tradicionais
1. INTRODUÇÃO
A importância da Auditoria de Terceiros ContratadosCopyright ENIGMA CONSULTORIA 14
• Dos serviços terceirizados contratados, predominam empresas já com experiência
no mercado em relação a empresas criadas por ex-funcionários ;
• Uma das conclusões mais importantes da pesquisa é que muitas empresas ainda
implantam a Terceirização sem um plano estratégico que lhe dê uma visão global
de todo o processo e consequências envolvidas;
• Das principais vantagens obtidas com a implantação da Terceirização estão:- Foco maior no “core business”- Melhores resultados no conjunto das ações da empresa - Redução de custos
• Após a implantação da Terceirização destacou-se o aumento da qualidade como
resultado do processo;
1. INTRODUÇÃO
A importância da Auditoria de Terceiros ContratadosCopyright ENIGMA CONSULTORIA 15
• Ao mesmo tempo, a maioria das empresas tiveram redução de 20% de custo nas operações terceirizadas;
• Também, a grande maioria das empresas responderam que houve uma redução de 10% a 25% do quadro funcional, com a implantação da Terceirização;
• Dos principais fatores restritos à implantação da Terceirização, destacam-se:- a dificuldade de se encontrar parceiro ideal em determinadas regiões;- não atendimento à qualidade dos serviços,;- dificuldade de se contratar empresas com Certificado de Qualidade;
• Grande maioria das empresas prestadoras de serviços não têm avaliação periódica e indicação de índices de desempenho dos serviços terceirizados;
• Não empregam tecnologia e nem a reciclam ficam a desejar quanto à qualidade dos serviços prestados;
1. INTRODUÇÃO
A importância da Auditoria de Terceiros ContratadosCopyright ENIGMA CONSULTORIA 16
• Ainda há problemas trabalhistas com a contratação de serviços terceirizados;
• A grande maioria continuará a utilizar serviços terceirizados nos próximos anos;
• O valor médio/ano de contratos de serviços terceirizados está acima de R$ 200.000,00 (duzentos mil reais);
• A grande maioria preferiria contratar empresas prestadoras de serviços com Certificado de Qualidade e considera este fator importante na decisão;
• A escolha da empresa prestadora de serviços tem como base, principalmente:- a qualificação técnica de seus profissionais,- o emprego de tecnologia,- conhecimento dos serviços prestados em outros clientes.
1. INTRODUÇÃO
A importância da Auditoria de Terceiros ContratadosCopyright ENIGMA CONSULTORIA 17
..\..\..\PROFISSIONAL\Segurança da Informação\Pesquisas\2006 - Ernst Young -
Segurança da Informação.pdf
ANÁLISE DOS RESULTADOS (ADMINISTRAÇÃO DOS RISCOS COM TERCEIROS)
• Mais de um terço dos participantes afirmou ter procedimentos formais de
administração do risco de fornecedores. Para muitos, isso leva à confiança de
que
a administração do risco de fornecimento está sob controle;
• Em contrapartida, dois terços das empresas entrevistadas acreditam que seus
fornecedores são capazes de cumprir suas políticas, procedimentos e normas;
• Com relação a administração de risco do fornecedor, apenas 6% das empresas
utilizam processos formais validados por terceiros;
1. INTRODUÇÃO
A importância da Auditoria de Terceiros ContratadosCopyright ENIGMA CONSULTORIA 18
..\..\..\PROFISSIONAL\Segurança da Informação\Pesquisas\2006 - Ernst Young - Segurança da Informação.pdf
ANÁLISE DOS RESULTADOS (ADMINISTRAÇÃO DOS RISCOS COM TERCEIROS)
• Outro terço dos entrevistados informou tratar os assuntos relacionados ao
risco
do fornecimento apenas de modo informal, em contraposição a 21% que não
abordam a questão;
• A prática de “confiar, mas verificar”, atualmente apenas 14% das empresas que
dependem de fornecedores exigem que eles submetam suas práticas de
segurança e privacidade das informações a uma análise independente.
1. INTRODUÇÃO
A importância da Auditoria de Terceiros ContratadosCopyright ENIGMA CONSULTORIA 19
FEBRABAN 2006
SERVIÇOS TERCEIRIZADOS (EM %)
• 68% DOS SERVIÇOS DE TELECOM• 62% DOS SERVIÇOS DE IMPRESSÃO DE DOCUMENTOS• 52% DO PROCESSAMENTO DE CARTÕES• 52% DO DESENVOLVIMENTO DE NOVOS SISTEMAS DE
INFORMAÇÃO• 48% DOS SERVIÇOS DA CENTRAL DE ATENDIMENTO A USUÁRIOS
(HELP DESK)• 43% DA MANUTENÇÃO DO SISTEMA EXISTENTE
1. INTRODUÇÃO
A importância da Auditoria de Terceiros ContratadosCopyright ENIGMA CONSULTORIA 20
_______________________________________________________________
1. INTRODUÇÃO1.1 Visão Geral sobre a Terceirização
1.2 Qual é o problema?
1.3 Alguns Números de Pesquisa
1.4 O PL 1621 em tramitação na Câmara que regulamenta
a Terceirização no país ____________________________________________________
A importância da Auditoria de Terceiros ContratadosCopyright ENIGMA CONSULTORIA 21
1.4 O PL 1621 em tramitação na Câmara que regulamenta a Terceirização no país
..\CURSOS\GRT - gestão de risco da terceirização\PROJETO DE LEI Nº 1621.pdf
1. INTRODUÇÃO
A importância da Auditoria de Terceiros ContratadosCopyright ENIGMA CONSULTORIA 22
_______________________________________________________________
2. A TERCEIRIZAÇÃO COMO UM MODELO DE NEGÓCIOS
2.1 As motivações e os desafios2.2 Alternativas de seleção de fornecedores de serviços
terceirizados2.3 Os papéis e responsabilidades da empresa e do
fornecedor de serviços2.4 A contratação de provedores para serviços (o processo,
os desafios, os fatores chaves de sucesso)____________________________________________________
A importância da Auditoria de Terceiros ContratadosCopyright ENIGMA CONSULTORIA 23
2.1 As Motivações e os Desafios
Terceirização é tipicamente uma decisão que envolve múltiplos
atributos de análise e múltiplos decisores, que tendem a enfatizar
diferentes aspectos da decisão. Os aspectos envolvidos incluem:
• Redução de custos
• Aquisição de capacidade
• Melhoria de controle da atividade
• Liberação de recursos de investimento em atividades centrais
Ultimamente tem sido observadas decisões de terceirização que não se baseiam unicamente em aspectos como o custo da transação, mas envolvem a parceria que resulte em inovações (TI)
2. A TERCEIRIZAÇÃO COMO UM MODELO DE NEGÓCIOS
A importância da Auditoria de Terceiros ContratadosCopyright ENIGMA CONSULTORIA 24
2.1 As Motivações e os Desafios
• Passa-se a considerar a possibilidade de contratos mais gerais,
onde haja um compartilhamento de riscos e benefícios mais
igualitário, e onde os critérios de mensuração gradualmente
deixam de medir os aspectos operacionais do processo para,
cada vez mais, enfatizar os resultados do negócio;
• Conforme a perspectiva de contratação de terceiros envolva
aspectos crescentemente estratégicos, os resultados tendem
a ser cada vez mais difíceis de serem avaliados. Isso ocorre
porque o resultado final levará a empresa contratante a uma
posição na qual ela nunca esteve antes. Processos serão
conduzidos de forma inovadora, e por isso, valores precisam
ser reaprendidos.
2. A TERCEIRIZAÇÃO COMO UM MODELO DE NEGÓCIOS
A importância da Auditoria de Terceiros ContratadosCopyright ENIGMA CONSULTORIA 25
_______________________________________________________________
2. A TERCEIRIZAÇÃO COMO UM MODELO DE NEGÓCIOS
2.1 As motivações e os desafios2.2 Alternativas de seleção de fornecedores de serviços
terceirizados2.3 Os papéis e responsabilidades da empresa e do
fornecedor de serviços2.4 A contratação de provedores para serviços (o processo,
os desafios, os fatores chaves de sucesso)____________________________________________________
A importância da Auditoria de Terceiros ContratadosCopyright ENIGMA CONSULTORIA 26
2.2 Alternativas de seleção de fornecedores de serviços terceirizados
• normalmente a decisão sobre terceirização envolve a análise
de várias alternativas diferentes entre si. E, não existe
alternativa que seja a melhor em todos os aspectos a serem
avaliados;
• as falhas de percepção dos avaliadores aumentam as
dificuldades do julgamento das alternativas. Isso ocorre pela
assimetria de informações, situação em que o decisor não tem
todos os detalhes necessários para produzir um julgamento
completo e perfeito sobre o que precisa ser decidido
2. A TERCEIRIZAÇÃO COMO UM MODELO DE NEGÓCIOS
A importância da Auditoria de Terceiros ContratadosCopyright ENIGMA CONSULTORIA 27
2.2 Alternativas de seleção de fornecedores de serviços terceirizados
• quando isso acontece, fatores de subjetividade podem fazer
parte do julgamento do decisor. A assimetria de informações
pode ocorrer por várias razões, como o desconhecimento
sobre detalhes técnicos do que vai ser fornecido, incapacidade
de avaliar informações do provedor, etc;
• outra dificuldade envolve a percepção do risco. Os gestores são
muito mais avessos a risco do que seria de se esperar, tendo
em vista as decisões que tomam;
• os gestores incluem aspectos pessoais na decisão de negócio,
como por exemplo, um mau resultado da decisão e a sua
carreira.
2. A TERCEIRIZAÇÃO COMO UM MODELO DE NEGÓCIOS
A importância da Auditoria de Terceiros ContratadosCopyright ENIGMA CONSULTORIA 28
_______________________________________________________________
2. A TERCEIRIZAÇÃO COMO UM MODELO DE NEGÓCIOS
2.1 As motivações e os desafios2.2 Alternativas de seleção de fornecedores de serviços
terceirizados2.3 Os papéis e responsabilidades da empresa e do
fornecedor de serviços2.4 A contratação de provedores para serviços (o processo,
os desafios, os fatores chaves de sucesso)____________________________________________________
A importância da Auditoria de Terceiros ContratadosCopyright ENIGMA CONSULTORIA 29
2.3 Os papéis e responsabilidades da empresa e do fornecedor de serviços
• Entendendo melhor a distribuição de papéis e
responsabilidades que a terceirização impõe, é possível
planejar uma série de atividades que “conspirem” para o
sucesso do modelo de negócios adotado;
• Essa avaliação de papéis e responsabilidades precisa ser
discutida com os terceiros envolvidos: verificar se sua
percepção é convergente ou não, e procurar entender quão
preparados esses terceiros estão para ocupar a posição
apontada para o modelo de negócios;
2. A TERCEIRIZAÇÃO COMO UM MODELO DE NEGÓCIOS
A importância da Auditoria de Terceiros ContratadosCopyright ENIGMA CONSULTORIA 30
2.3 Os papéis e responsabilidades da empresa e do fornecedor de serviços
• os líderes de negócio precisam lembrar, que passam a ser
responsáveis moralmente por um conjunto adicional de
profissionais (os terceiros). Esses profissionais não tem vínculo
legal com a empresa contratada dos serviços terceirizados, mas
sua carreira e seu futuro estão ligados a essa empresa;
• Os terceiros devem combater a ideia de que seus funcionários
ou subcontratados são apenas “recursos” que precisam estar
alocados para justificar sua existência.
• Contratantes e terceiros devem caminhar para modelos de
cadeia de valor que dependam cada vez mais da excelente
2. A TERCEIRIZAÇÃO COMO UM MODELO DE NEGÓCIOS
A importância da Auditoria de Terceiros ContratadosCopyright ENIGMA CONSULTORIA 31
2.3 Os papéis e responsabilidades da empresa e do fornecedor de serviços
performance de cada participante.
- Programas regulares de revisão da estratégia do negócio,
- Planejamento da aplicação de novas tecnologias,
- Treinamento do pessoal,
- Avaliação do processo de relacionamento com os clientes,
- Avaliação da eficácia no uso de ativos,
- Apuração do clima organizacional, e várias outras questões
para medir e manter a saúde do negócio são necessários
para continuar na disputa por um espaço lucrativo no
mercado.
2. A TERCEIRIZAÇÃO COMO UM MODELO DE NEGÓCIOS
A importância da Auditoria de Terceiros ContratadosCopyright ENIGMA CONSULTORIA 32
_______________________________________________________________
2. A TERCEIRIZAÇÃO COMO UM MODELO DE NEGÓCIOS
2.1 As motivações e os desafios2.2 Alternativas de seleção de fornecedores de serviços
terceirizados2.3 Os papéis e responsabilidades da empresa e do
fornecedor de serviços2.4 A contratação de provedores para serviços (o
processo, os desafios, os fatores chaves de sucesso)____________________________________________________
A importância da Auditoria de Terceiros ContratadosCopyright ENIGMA CONSULTORIA 33
2.4 A contratação de provedores para serviços (o processo, os desafios, os fatores chaves de sucesso)
2.4.1 O Processo de Contratação
O processo de contratação de provedores para serviços terceirizados
envolve, geralmente, as etapas expostas na figura a seguir:
2. A TERCEIRIZAÇÃO COMO UM MODELO DE NEGÓCIOS
A importância da Auditoria de Terceiros ContratadosCopyright ENIGMA CONSULTORIA 34
2.4 A contratação de provedores para serviços (o processo, os desafios, os fatores chaves de sucesso)
2.4.1 O Processo de Contratação
2. A TERCEIRIZAÇÃO COMO UM MODELO DE NEGÓCIOS
A importância da Auditoria de Terceiros ContratadosCopyright ENIGMA CONSULTORIA 35
2.4 A contratação de provedores para serviços (o processo, os desafios, os fatores chaves de sucesso)
2.4.2 Os Fatores chaves de sucesso na Contratação
Os fatores críticos no modelo terceirizado estão diretamente
relacionados à competência na contratação do provedor para
esses serviços. São eles:
- Redução de Riscos - Postura colaborativa
- Controle Estratégico - Contingências
- Responsabilidades - Bons processos próprios doestratégicas internas fornecedor.definidas
2. A TERCEIRIZAÇÃO COMO UM MODELO DE NEGÓCIOS
A importância da Auditoria de Terceiros ContratadosCopyright ENIGMA CONSULTORIA 36
2.4 A contratação de provedores para serviços (o processo, os desafios, os fatores chaves de sucesso)
2.4.3 Os Principais Desafios a superar na Terceirização
Além do que já foi apontado, atenção especial deve ser dada aos
principais desafios que precisarão ser superados para que as
operações terceirizadas tenham sucesso. São eles:
- Riscos de continuidade - Aumento de dependência e de
negócios - Turnover na Terceirização
- Perda de flexibilidade - Treinamento no “serviço”
- Compartilhamento de recursos do provedor
2. A TERCEIRIZAÇÃO COMO UM MODELO DE NEGÓCIOS
A importância da Auditoria de Terceiros ContratadosCopyright ENIGMA CONSULTORIA 37
2.4 A contratação de provedores para serviços (o processo, os desafios, os fatores chaves de sucesso)
2.4.3 Os Principais Desafios a superar na Terceirização
Além do que já foi apontado, atenção especial deve ser dada aos
principais desafios que precisarão ser superados para que as
operações terceirizadas tenham sucesso. São eles:
- Riscos de continuidade - Aumento de dependência e de
negócios - Turnover na Terceirização
- Perda de flexibilidade - Treinamento no “serviço”
- Compartilhamento de recursos do provedor
2. A TERCEIRIZAÇÃO COMO UM MODELO DE NEGÓCIOS
A importância da Auditoria de Terceiros ContratadosCopyright ENIGMA CONSULTORIA 38
_______________________________________________________________
3. RISCOS DE SEGURANÇA DA INFORMAÇÃO NA TERCEIRIZAÇÃO
3.1 Exemplos de Incidentes3.2 Pilares da Segurança da Informação3.3 Componentes da SI3.4 Anatomia do Problema3.5 Riscos de SI Antes e Durante a Contratação_________________________________________________
A importância da Auditoria de Terceiros ContratadosCopyright ENIGMA CONSULTORIA 39
3.1 EXEMPLOS DE INCIDENTES
Pode acontecer em sua empresa?
• Uma empresa terceirizada de call center é acusada de vazar informações
privadas de seus clientes. O caso ganha as páginas dos jornais e seus clientes
entram com uma ação coletiva acusando sua empresa de negligência, entre
outros. Custo: R$ 5 milhões em indenização e imagem abalada.
• Uma grande inundação destrói parte do CPD do banco. O custo: um custo
de reconstrução de 10%, $ 200 milhões em ativos perdidos e receitas de
clientes mais baixas resultando em uma redução de 5% nos lucros.
• Uma empresa terceirizada que hospedava todo o ambiente de e-commerce
de sua empresa sofre um incêndio e você descobre que não existia nenhum
plano de contingência e continuidade de negócios de seu terceiro.
Custo: uma perda de receita estimada de $ 2 milhões.
3. RISCOS DE SI NA TERCEIRIZAÇÃO
A importância da Auditoria de Terceiros ContratadosCopyright ENIGMA CONSULTORIA 40
INSTITUIÇÃO ATIVIDADE ANO PERDA EM US$ MILHÕES
Daiwa Bank, NY Negociação não autorizada de bônus devido a maus controles gerenciais
1984-95 1,100
Sumitomo Corp, Londres
Negociação não autorizada de cobre, fraude e falsificação
1986-96 1,700
Barings, Cingapura
Controle inadequado de negociação de futuros – especialmente másegregação de tarefas
1995 1,600
Crédit Lyonnais Mau controle de empréstimos Anos 80-90
29,000
Bancos varejistas e corporações dos EUA
Fraude de cheques 1993 12,000
Deutsche Bank Investimento fora de alçada 1996 600
3. RISCOS DE SI NA TERCEIRIZAÇÃO
A importância da Auditoria de Terceiros ContratadosCopyright ENIGMA CONSULTORIA 41
3.2 PILARES DA SEGURANÇA DA INFORMAÇÃO
• Confidencialidade: somente pessoas devidamente autorizadas
tem acesso à informação e/ou local físico (vazamento de
informação).
• Integridade: a informação se mantém completa, suficiente e
confiável após qualquer processo (fraude).
• Disponibilidade: a informação estará sempre disponível a quem
tem autorização para acessá-la (falhas em TI).
3. RISCOS DE SI NA TERCEIRIZAÇÃO
A importância da Auditoria de Terceiros ContratadosCopyright ENIGMA CONSULTORIA 42
3.3 COMPONENTES DA SEGURANÇA DA INFORMAÇÃO
• Pessoas (internas e externas)
• TI
• Infraestrutura
• Processos
3. RISCOS DE SI NA TERCEIRIZAÇÃO
A importância da Auditoria de Terceiros ContratadosCopyright ENIGMA CONSULTORIA 43
FATORES DO RISCO
Fatores de Risco Componentes Categorias de Eventos de Perda
• Pessoas - Habilidade específica- Desempenho- Ambiente de trabalho
• Fraudes• Vazamento de Informação• Práticas Empregatícias e
segurança no trabalho• Danos a ativos físicos• Interrupção de negócios e
falhas em sistemas tecnológicos porsabotagem
• Acesso físico nãoautorizado
• Falhas de execução, distribuição ou de processos gerenciais
• Sistemas - Estrutura tecnológica- Falha tecnológica
• Infraestrutura - Falha na segurança física
• Processos - Modelagem- Conformação com a legislação
3. RISCOS DE SI NA TERCEIRIZAÇÃO
A importância da Auditoria de Terceiros ContratadosCopyright ENIGMA CONSULTORIA 44
3.4 ANATOMIA DO PROBLEMA
• Falta de verificação de credenciais ANTES da contratação;
• Falta de visita in loco antes e durante o contrato;
• Desconhecimento do nível de maturidade administrativa da
empresa (organização, definição de processos, treinamento de
pessoas, etc.);
• Desconhecimento do nível de maturidade em segurança da
informação;
• Falta de cultura da empresa contratante quanto aos impactos
que riscos de SI podem proporcionar.
3. RISCOS DE SI NA TERCEIRIZAÇÃO
A importância da Auditoria de Terceiros ContratadosCopyright ENIGMA CONSULTORIA 45
3.5 RISCOS DE SI - ANTES E DURANTE A CONTRATAÇÃO
• Inexistência de uma cultura de SI praticada pelo Terceiro em seu
próprio ambiente (análise de risco periódica, política de
segurança, conscientização de pessoas, implementação de
controles com base na análise de risco, monitoramento);
• Falta de processos estabelecidos de SI no trabalho com
informações de contratante (no ambiente do Terceiro e no
ambiente do Contratante);
• Terceiro com baixo nível de organização administrativa (p.ex.:
falta de boas práticas na contratação de pessoas)
3. RISCOS DE SI NA TERCEIRIZAÇÃO
A importância da Auditoria de Terceiros ContratadosCopyright ENIGMA CONSULTORIA 46
RISCO = é a combinação das conseqüências advindas da ocorrência de um
evento indesejado e da probabilidade da ocorrência do mesmo.
3. RISCOS DE SI NA TERCEIRIZAÇÃO
A importância da Auditoria de Terceiros ContratadosCopyright ENIGMA CONSULTORIA
3. RISCOS DE SI NA TERCEIRIZAÇÃO
A importância da Auditoria de Terceiros ContratadosCopyright ENIGMA CONSULTORIA 48
Tabela 1 – Alinhamento entre o ciclo PDCA e o processo de
Gestão do Risco de SI.
CICLO PDCA PROCESSO DE GESTÃO DE RISCO DE SI
Definição do Contexto
Análise/avaliação de riscos
Plano de tratamento do risco
Aceitação do risco
PLANEJAR
EXECUTAR Implementação do plano de tratamento do risco
VERIFICAR
AGIR
Monitoramento contínuo e análise crítica de riscos
Manter e melhorar o processo de gestão de riscos de SI
3. RISCOS DE SI NA TERCEIRIZAÇÃO
A importância da Auditoria de Terceiros ContratadosCopyright ENIGMA CONSULTORIA
3. RISCOS DE SI NA TERCEIRIZAÇÃO
A importância da Auditoria de Terceiros ContratadosCopyright ENIGMA CONSULTORIA 50
_______________________________________________________________
4. RISCOS DA GESTÃO DA CONTINUIDADE DENEGÓCIOS
4.1 Introdução a GCN4.2 O escopo de proteção da GCN4.3 Fases de um projeto de PCN4.4 Análise do Risco do Terceiro no PCN_________________________________________________
A importância da Auditoria de Terceiros ContratadosCopyright ENIGMA CONSULTORIA 51
DESASTRES ou uma INTERRUPÇÃO PROLONGADA acontecem e não
avisam. A Gestão da Continuidade de Negócios existe para minimizar o impacto advindo desses eventos:
4.1 INTRODUÇÃO AO GCN
A importância da Auditoria de Terceiros ContratadosCopyright ENIGMA CONSULTORIA 52
NEGÓCIOS são vulneráveis ao impacto de não somente as principais calamidades apontadas, mas também em rupturas menores.
Fatores como um aumento da dependência tecnológica e pressões do mercado tem tornado os negócios sensíveis a rupturas menores.
Alguns exemplos dessas rupturas são:
• Falha no fornecimento de energia
• Falhas em sistemas de TI
• Gripe Influenza
• Distúrbios civis
4.1 INTRODUÇÃO A GCN
A importância da Auditoria de Terceiros ContratadosCopyright ENIGMA CONSULTORIA 53
CONTINUIDADE DE NEGÓCIOS é:
•Uma disciplina que prepara uma organização para manter a
continuidade de seus negócios durante um desastre ou uma
interrupção prolongada, através da implementação de um Plano da
Continuidade de Negócios (PCN).
Um PCN é:•Um documento que contém atividades e procedimentos para ajudar a recuperar e restaurar recursos e processos rompidos dentro de um tempo de recuperação considerado ideal.
4.1 INTRODUÇÃO A GCN
A importância da Auditoria de Terceiros ContratadosCopyright ENIGMA CONSULTORIA 54
Pessoas
Instalações
Tecnologia da Informação
Informações não custodiadas por TI
Suprimentos
Terceiros, Fornecedores,Acionistas
Recursos Típicos considerados na Gestão da Continuidade de Negócios (GCN)
Escopo de proteção dos recursos do GCN
Ameaças Externas
4.2 O ESCOPO DE PROTEÇÃO DA GCN
A importância da Auditoria de Terceiros ContratadosCopyright ENIGMA CONSULTORIA 55
4.3 FASES DE UM PROJETO DE PCN
Criar Política de continuidade de negócios
Estabelecer um Comitê para o PCN
Início PCN
Estabelecer um projeto de desenvolvimento para o PCN
Estabelecer um Programa de conscientização e treinamento em PCN
Coordenar PCN com Leis, regulamentos e padrões da indústria
Coordenar com outras entidades interna/externa relacionadas ao PCN
Projeto de desenvolvimento do plano
PCN completado
Manter prontidão ao desastre
ExecutarPCN
Ruptura dos negócios
Tempo
Análise do RiscoManutençãodo PCN e Teste regular
Treinar e Testar
BIA
Desenvolvimento daestratégia de continuidade
Desenvolvimento do PCN
A importância da Auditoria de Terceiros ContratadosCopyright ENIGMA CONSULTORIA 56
Processo de planejamento da continuidade de negócios
Define um ciclo de vida para desenvolver e manter um PCN. O modelo de ciclo de
vida do processo do PCN consiste das seguintes fases:
4.3 FASES DE UM PROJETO DE PCN
A importância da Auditoria de Terceiros ContratadosCopyright ENIGMA CONSULTORIA 57
O QUE DEVE SER FEITO NA FASE 3 DO PROJETO
• Definir quais são os Terceiros mais críticos para a empresa;
• Solicitar ao Terceiro que prepare uma apresentação sobre como
ele trata o tema da Continuidade dos Negócios dele;
• Marcar a visita à instalação do Terceiro;
• Ver a apresentação e anotar os pontos fortes e fracos;
• Realizar uma vistoria pela instalação do Terceiro;
• Se existir, visitar o site alternativo de pessoas e de TI;
• Preparar um relatório com base no risco.
4.4 ANÁLISE DO RISCO DO TERCEIRO NO PCN
A importância da Auditoria de Terceiros ContratadosCopyright ENIGMA CONSULTORIA 58
_______________________________________________________________
5. AUDITORIA PERIÓDICA5.1 Auditar Terceiro é parte do Programa5.2 Periodicidade dessa Auditoria5.3 O Relatório e a análise ______________________________________________
A importância da Auditoria de Terceiros ContratadosCopyright ENIGMA CONSULTORIA 59
5.1 AUDITAR TERCEIRO É PARTE DO PROGAMA
A Auditoria de Terceiros em SI e na GCN deve fazer
parte do Programa Anual de Auditoria e
consequentemente, do orçamento anual da área.
Lembre-se: alguns Terceiros podem estar
desempenhando alguns processos e atividades críticas
maiores que algumas áreas de sua empresa.
5. AUDITORIA PERIÓDICA
A importância da Auditoria de Terceiros ContratadosCopyright ENIGMA CONSULTORIA 60
5.2 PERIODICIDADE DESSA AUDITORIA
Deve ser determinada em função da criticidade do
Terceiro para com os negócios da empresa. O mínimo
que se aceita é que seja realizada pelo menos uma vez
por ano.
5. AUDITORIA PERIÓDICA
A importância da Auditoria de Terceiros ContratadosCopyright ENIGMA CONSULTORIA 61
5.3 O RELATÓRIO E A ANÁLISE
Deve ser mostrado detalhadamente ao Terceiro o
resultado da Auditoria, e como em qualquer processo
de auditoria, deve ser fornecido um prazo para que ele
atenda as não-conformidades encontradas. Se for do
interesse da empresa cliente, um Plano de Ação deve
ser entregue ao Terceiro.
5. AUDITORIA PERIÓDICA
A importância da Auditoria de Terceiros ContratadosCopyright ENIGMA CONSULTORIA 62
_______________________________________________________________
6. O PROCESSO DE UMA AVALIAÇÃOINDEPENDENTE
6.1 Vantagens e Desvantagens da Contratação6.2 Um modelo baseado em nível de maturidade ______________________________________________
A importância da Auditoria de Terceiros ContratadosCopyright ENIGMA CONSULTORIA 63
6.1 PRÓS E CONTRAS DA CONTRATAÇÃO
Prós
• Grau de especialização;
• Experiência trazida de outras auditorias;
• Recursos Humanos que a empresa não dispõe (braço);
• Sem qualquer tipo de vínculo com o Terceiro.
Contras
• Não há cultura da empresa e portanto, não há $$$;
• Algum impedimento contratual na relação com Terceiro ou
outro qualquer.
6. O PROCESSO DE UMA AVALIAÇÃO INDEPENDENTE
A importância da Auditoria de Terceiros ContratadosCopyright ENIGMA CONSULTORIA 64
6.2 UM MODELO BASEADO NO NÍVEL DE MATURIDADE
NÍVEL DE MATURIDADE 1:•A estruturação da área ou pelo menos uma pessoa foi designada como responsável pela segurança da informação na empresa;•A existência e publicação da Política Geral de Segurança da Informação;•A existência e publicação das Normas que devem complementar a PGSI;•Um programa de conscientização dos usuários sobre as diretrizes da PGSI e das Normas Complementares.
6. O PROCESSO DE UMA AVALIAÇÃO INDEPENDENTE
A importância da Auditoria de Terceiros ContratadosCopyright ENIGMA CONSULTORIA 65
NÍVEL DE MATURIDADE 2:
•Os riscos de SI e a resposta aos riscos são identificados por meio
das atividades de análise, avaliação e plano de mitigação;
•Por meio do Plano de Mitigação do Risco de SI proposto, ocorre a
implementação dos controles (projetos) de SI que irão gerar o
Programa de SI (projetos selecionados) em um determinado período
(anual, p.ex.)
6. O PROCESSO DE UMA AVALIAÇÃO INDEPENDENTE
A importância da Auditoria de Terceiros ContratadosCopyright ENIGMA CONSULTORIA 66
NÍVEL DE MATURIDADE 3:
•O Comitê Gestor de SI é estabelecido com missão e objetivos
definidos;
•Existe o monitoramento e gerenciamento do sistema de controles
implementado, por meio dos projetos do Programa de SI;
•É estabelecido um processo de coleta e resposta a incidentes de SI.
6. O PROCESSO DE UMA AVALIAÇÃO INDEPENDENTE
A importância da Auditoria de Terceiros ContratadosCopyright ENIGMA CONSULTORIA 67
NÍVEL DE MATURIDADE 4:
•Os Indicadores de performance e indicadores de metas para SI (KPIs
e KGIs) é definido e estabelecido;
•Existe um processo de coleta do KPIs e KGIs;
•Comparação dos KPIs e KGIs com os alvos e com a indústria.
6. O PROCESSO DE UMA AVALIAÇÃO INDEPENDENTE
A importância da Auditoria de Terceiros ContratadosCopyright ENIGMA CONSULTORIA 68
NÍVEL DE MATURIDADE 5:
•A avaliação periódica do Risco de SI é estabelecida e implementada;
•Estabelecimento pelo Comitê de SI das ações a serem tomadas em
face de novas avaliações de risco, incidentes de SI e resultados dos
KPIs e KGIs.
6. O PROCESSO DE UMA AVALIAÇÃO INDEPENDENTE
A importância da Auditoria de Terceiros ContratadosCopyright ENIGMA CONSULTORIA
Obrigado!