Risco - um fator estratégico

Risco

Um fator estratégico

Copyright © 2012 Shield – Security as a Service. Todos os direitos reservados.


www.ShieldSaaS.com

[email protected]

http://www.shieldsaas.com/


VAMOS COMEÇAR?


Impacto Frequência

Risco


O que é risco?

A que riscos estou exposto?

Qual o meu apetite ao risco?

Como mensuro o meu risco?


Risco é...

...o resultado objetivo da combinação entre a probabilidade de

ocorrência de um determinado evento, aleatório, futuro e o

impacto resultante caso ele ocorra.


• O conceito de risco é associado

à ideia de futuro

• O risco no passado é evento, e

não mais risco

• O estudo de riscos é baseado

em probabilidades e estudos de

eventos passados


Gestão

Equipes

Frameworks

TI x

negócio

Ciclo


Gestão de riscosSob a visão do negócio


Processos

Presidência

Financeiro RH TI SI Produto Marketing

Equipes Sistemas Ambientes Documentos Fornecedores


ProcessosTI como vetor de ameaça

Presidência



Riscos do negócio

Riscos Financeiros

Riscos de RH

Riscos de TI

Riscos de compliance

Riscos de produtos

Riscos de imagem


TI como vetor de ameaça

Se os riscos de TI são tão vitais,como isso afeta e gera riscos para o negócio?


TI como vetor de ameaça


Magnitude

Frequência

Como percebemos o risco?

Oportunidades

Baixo

MédioAlto


Magnitude

Frequência


Planeja realizar

Aceita

ControlaNega ou evita



Apetite ao risco: Quantidade de

risco definida pelo board que se

está disposto a assumir em prol do

atendimento à sua missão

estratégica

importantes



importantes

Tolerância ao risco: Variação

aceitável relativa ao

atingimento de uma meta ou

objetivo


• Maneira como os envolvidos

compreende as consequências

pelo potencial da ocorrência do

risco

• Está diretamente relacionada a

experiências anteriores e

expectativas futuras

• A percepção de risco tende à

psicologia


- Demonstrar maturidade gerencial

- Suporte no direcionamento estratégico

- Condição para abertura de capital

- Atendimento a regulamentação

Outros benefícios

estratégicos


Equipes envolvidas


Accountability

Relacionado àqueles

que possuem os

recursos e tem a

autoridade para

aprovar a execução e

ou aceitar a saída que

venha de uma

atividade

Responsibility

Relacionado àqueles

que devem garantir

que as atividades

foram cumpridas

conforme os

requisitos definidos


Presidência



Board

CIO

CEO

CRO

CFO

Comitês de risco

Gestores

PMO

Controles internos

RH

Auditoria

Responsável ou

parcialmente accountable

Totalmente accountable


Comunicação

de

RiscosCapacidade

de tratamento

Status e indicadores

Expectativas estratégicas


Comunicação

de

Riscos

Programa de gestão de riscos

Indicadores e métodos de métricas

Procedimentos, material de conscientização

Avaliação de maturidade segundo framework


TI x Negócio


Processos

Presidência




Os principais projetos da organização dependem de .....

As boas práticas do ITIL sugerem o ponto central de

contato na .......

A ...... é responsável pela guarda de informações e

dados em backup

O orçamento da ....... é historicamente um dos maiores

em grande parte das organizações

Em geral, quando a organização vai expandir, a

“infantaria” é representada pela .....


Frameworks


Complementa o CobiT4.1 no sentido de gestão e percepção

estratégica de riscos de TI no processo de gestão estratégica da

governança de TI.

Suporta o mercado de riscos (financeiro) com visões estratégicas

sobre os riscos da organização

Norma da família ISO 27000 dedicada a tratar do tema “Gestão de

Riscos” com o enfoque em segurança da informação

Norma Australiana-Neozelandesa para tratamento e gestão de

riscos. Uma das referências que cita “risco” como podendo ser

positivo (oportunidade)

Norma ISO publicada no final de 2011 com enfoque em unificar o

tema dando um cunho geral e não só de TI ou financeiro

É um conjunto de ferramentas, técnicas e métodos para Avaliações

de risco de segurança da informação e planejamento estratégico.OCTAVE

Risk IT

(CobiT 4.1)

AS/NZS

4360

COSO

ISO 27005

ISO 31000


Ciclo e manutençãoModelo da ISO 27005


AARAnálise de Riscos

Definição de contexto

Identificação de riscos

Estimativa de riscos

Avaliação de riscos

Com

unic

ação

do

Ris

co

Avaliação

satisfatória?

Monitoram

ento e Análise C

rítica de Riscos

Tratamento do Risco

Aceitação do risco

O tratamento foi

satisfatório?


Para anotar

Finalizando...


Risco e a combinação entre a probabilidade de ocorrência de um

determinado evento e o impacto resultante caso ele ocorra.

A Análise de Riscos é o processo pelo qual são relacionados os eventos, os

impactos e avaliadas as probabilidades destes se concretizarem

O gerenciamento de riscos busca garantir que os objetivos estratégicos de

negocio não sejam expostos por falhas de TI

A alta direção deve revisar e aprovar o plano de ação (accountability)

O gerenciamento de riscos deve ser um processo contínuo e em constante


Obrigado


www.ShieldSaaS.com

www.slideshare.net/ShieldSaaS

www.Facebook.com/ShieldSaaS

www.twitter.com/ShieldSaaS

[email protected]

Risco - um fator estratégico

Technology

Transcript of Risco - um fator estratégico