CONFIDENCIAL Segurança da Informação e Gerenciamento de Riscos nas empresas jornalísticas Carlos...
34
CONFIDENCIAL Segurança da Informação e Gerenciamento de Riscos nas empresas jornalísticas Carlos Henrique Safini dos Reis Ger. de Riscos e Seg. da Informação XXIV Congresso do Comitê de Tecnologia ANJ Rio de Janeiro - 26, 27 e 28 de agosto de 2007
Transcript of CONFIDENCIAL Segurança da Informação e Gerenciamento de Riscos nas empresas jornalísticas Carlos...
CONFIDENCIAL
Segurança da Informação e
Gerenciamento de Riscos nas empresas jornalísticas
Segurança da Informação e
Gerenciamento de Riscos nas empresas jornalísticas
Carlos Henrique Safini dos ReisGer. de Riscos e Seg. da Informação
XXIV Congresso do Comitê de Tecnologia ANJRio de Janeiro - 26, 27 e 28 de agosto de 2007
28/AGO/2007COMITÊ DE TECNOLOGIA ANJ 2007 2
Infoglobo?Infoglobo?
• Principais Produtos:– Jornal O Globo– Jornal Extra– Jornal Expresso– Jornal Diário de São Paulo– O Globo Online– Agência O Globo– Valor (parceria)– ZAP (parceria)
• 5 grandes instalações, 2 parques gráficos, 3000 pessoas
28/AGO/2007COMITÊ DE TECNOLOGIA ANJ 2007 3
Nosso ContextoNosso Contexto
• História de sucesso de mais de 80 anos;
• Segmento pouco regulamentado mas muito fiscalizado;
• Sem base de dados histórica sobre perdas para analisar;
• Empresa de capital fechado;
• Segmento em fase de grande transformação;
• Novos concorrentes “de peso” oriundos de outros segmentos.
CONFIDENCIAL
Gestão de Riscos..... humn...
Entendendo a motivação
Gestão de Riscos..... humn...
Entendendo a motivação
28/AGO/2007COMITÊ DE TECNOLOGIA ANJ 2007 5
Brasileiros vs. Atitude PreventivaBrasileiros vs. Atitude Preventiva
Guerra
Desastres Naturais
Terrorismo
Faltam motivadores externos para criar os hábitos e estabelecer a
cultura de prevenção.
O cenário está mudando em função do crescimento da criminalidade, da violência urbana, dos impactos cruzados da economia globalizada
e das alterações climáticas
Criminalidade
28/AGO/2007COMITÊ DE TECNOLOGIA ANJ 2007 6
Mudanças ClimáticasTornado em IndaiatubaMudanças ClimáticasTornado em Indaiatuba
• “Os prejuízos foram estimados pela prefeitura em R$ 90 milhões para os empresários que tiveram suas indústrias atingidas, R$ 1,5 milhão para os moradores e R$ 6 milhões para a administração pública.”
• “Pelo menos 30 empresas estavam na rota do tornado e seis desabaram. Nesta tarde, a energia elétrica foi restabelecida em 99% da cidade. Apenas alguns pontos ainda estavam sem eletricidade.”
28/AGO/2007COMITÊ DE TECNOLOGIA ANJ 2007 7
Crises Podem Atingir Grandes ProporçõesCrises Podem Atingir Grandes Proporções
• Uma crise pode acontecer no “pior” momento;
• Segundo estatísticas publicadas no Meta Research Report (11 de fevereiro de 2002), entidade especializada em gerenciamento de crises:
– 43% das empresas que sofreram um sinistro de proporções
catastróficas, não reabriram, sendo que 29% das empresas que reabriram, depois de 2 anos fecharam;
– Companhias que ficaram desprovidas do sistema de informática por mais de 10 dias não conseguiram mais recuperar seus dados;
– Crises são extremamente democráticas e politicamente corretas; podem acontecer a qualquer empresa.
28/AGO/2007COMITÊ DE TECNOLOGIA ANJ 2007 8
Grandes Escândalos FinanceirosPerda de Confiança nos “Números”Grandes Escândalos FinanceirosPerda de Confiança nos “Números”
Internacionais• Enron;• WorldCom;• Royal Ahold; • Etc.
Nacionais;• Banco Nacional;• Banco Marka;• Data Control;• Etc.
28/AGO/2007COMITÊ DE TECNOLOGIA ANJ 2007 9
Reações dos ReguladoresSOX, PCAOB, Novo Cód. Civil, e-NF, etc.Reações dos ReguladoresSOX, PCAOB, Novo Cód. Civil, e-NF, etc.
Tempo
Co
mp
lexi
dad
e d
o R
egu
lató
ria
28/AGO/2007COMITÊ DE TECNOLOGIA ANJ 2007 10
Valorização da Transparência e dasBoas Práticas de GestãoValorização da Transparência e dasBoas Práticas de Gestão
28/AGO/2007COMITÊ DE TECNOLOGIA ANJ 2007 11
Para Atingir Objetivos Corporativos: Pessoas+Processos+FerramentasPara Atingir Objetivos Corporativos: Pessoas+Processos+Ferramentas
Pessoas:Executam os
Processos e usam as Ferramentas Para atingir os
Objetivos
Ferramentas: São manipuladas
pelas Pessoas, seguindo os
Processos paraatingir osObjetivos
Processos: Descrevem como as
Pessoas irão usar as Ferramentas para atingir os
Objetivos
>
28/AGO/2007COMITÊ DE TECNOLOGIA ANJ 2007 12
Ferramentas informatizadasComplexidade Crescente Ferramentas informatizadasComplexidade Crescente
Tempo
D
epen
dên
cia
Tec
no
lóg
ica
100%
28/AGO/2007COMITÊ DE TECNOLOGIA ANJ 2007 13
Estatísticas Sobre Incidentes de Segurança da Informação no Brasil Estatísticas Sobre Incidentes de Segurança da Informação no Brasil
28/AGO/2007COMITÊ DE TECNOLOGIA ANJ 2007 14
Sapphire Worm ou “Slammer” (2003)Sapphire Worm ou “Slammer” (2003)
CONFIDENCIAL 142681111 0
• Infecções dobradas a cada 8.5 segundos
• Infectados 75.000 computadores nos primeiros 11 minutos
• Interrupções na internet, cancelamento de vôos e falhas em ATMs
• Infecções dobradas a cada 8.5 segundos
• Infectados 75.000 computadores nos primeiros 11 minutos
• Interrupções na internet, cancelamento de vôos e falhas em ATMs
No pico, foram varridos 55 milhões de computadores por segundo
No pico, foram varridos 55 milhões de computadores por segundo
minutos após liberado minutos após liberado
28/AGO/2007COMITÊ DE TECNOLOGIA ANJ 2007 15
Então, surgem as perguntas importantes...Então, surgem as perguntas importantes...
• Que objetivos assumidos junto aos acionistas correm o risco de não serem cumpridos?
• Corremos riscos de receber multas? De que valores?
• O que poderia afetar a imagem das nossas marcas?
• Existe o risco da produção parar ou atrasar?
• Os nossos segredos estão protegidos?
• A auditoria externa pode encontrar algum problema importante?
• Como estamos em relação às empresas semelhantes à nossa?
28/AGO/2007COMITÊ DE TECNOLOGIA ANJ 2007 16
... E Também a Necessidade de Ajustar a Percepção dos Executivos... E Também a Necessidade de Ajustar a Percepção dos Executivos
SEGURANÇA REAL
S
EG
UR
AN
ÇA
PER
CEB
IDA
SU
FIC
IEN
TE
INADEQUADO ADEQUADO
INS
UFIC
IEN
TE Im
plantaçã
o do Proce
sso
de Gestã
o de Riscos&
SI
Orientaçã
o aos Resp
onsáveis
pelo Tratamento dos R
iscos
PERIGO
DESCONFORTO
IDEAL
GASTOS DESNECESSÁRIO
S
An
ális
e e
Con
scie
ntiz
ação
CONFIDENCIAL
Gestão de Riscose
Segurança da Informação
Gestão de Riscose
Segurança da Informação
28/AGO/2007COMITÊ DE TECNOLOGIA ANJ 2007 18
GERENCIAMENTO DE RISCOS
Qual é a origem dos riscos?Qual é a origem dos riscos?
Pessoas• Displicência/negligência na execução de atividades;• Desconhecimento/falta de treinamento para a execução de atividades;• Manipulação para cometer fraudes;
Processos• Processo mal definido;• Falta de controles; • Falta de segregação de funções;
Infra-Estrutura• Falha em sistema (hardware ou software);• Falha na infra-estrutura de serviços básicos (telecomunicações, energia, água,
gás, etc.);
Agentes/Eventos Externos• Imposição de mudanças regulatórias (IVC, trabalhista, federal, estadual,
municipal, etc.)• Desempenho inadequado de prestadores de serviços;• Fraudes de clientes, fornecedores ou outros agentes externos;• Acões jurídicas contra a Infoglobo (ações cíveis, descumprimento de obrigações
contratuais, CADE, etc.)
28/AGO/2007COMITÊ DE TECNOLOGIA ANJ 2007 19
Definição do COSO para ERM (Enterprise Risk Management)Definição do COSO para ERM (Enterprise Risk Management)
“… um processo, executado pela diretoria, gerência e demais profissionais, aplicado na definição das estratégias e na operação do negócio, desenhado para identificar os potenciais eventos que podem afetar a empresa, e que gerencie os riscos dentro do apetite corporativo, para prover uma razoável certeza do atingimento dos objetivos da entidade."
"...a process, effected by an entity's board of directors, management and other personnel, applied in strategy setting and across the enterprise, designed to identify potential events that may affect the entity, and manage risks to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives.”
Source: COSO Enterprise Risk Management – Integrated Framework. 2004. COSO.
28/AGO/2007COMITÊ DE TECNOLOGIA ANJ 2007 20
Fator Crítico de Sucesso: A Atitude!Fator Crítico de Sucesso: A Atitude!
NOVA GOVERNANÇA
REAÇÃO
ANTECIPAÇÃO
28/AGO/2007COMITÊ DE TECNOLOGIA ANJ 2007 21
Chance de maiores
ganhos ou maiores perdas
Chance de maiores
ganhos ou maiores perdas
Ganhos e perdas menores
e mais previsíveis
Ganhos e perdas menores
e mais previsíveis
Maiscontroles
Maiscontroles
Mais flexibilidade
Mais flexibilidade
Valor sustentado e
segurança
Valor sustentado e
segurança
Conformidade Conformidade
Baseado em slide da KPMG LLP (U.S.), 2004
Fator Crítico de Sucesso:Equilibrar Risco e RecompensaFator Crítico de Sucesso:Equilibrar Risco e Recompensa
28/AGO/2007COMITÊ DE TECNOLOGIA ANJ 2007 22
Risco Inerente
Infra-estrutura
Regras e Processos
Conscientização e Treinamento
Risco Gerencia
do
Fator Crítico de Sucesso:Balancear os InvestimentosFator Crítico de Sucesso:Balancear os Investimentos
28/AGO/2007COMITÊ DE TECNOLOGIA ANJ 2007 23
Dois Temas com Focos ComplementaresDois Temas com Focos Complementares
GESTÃO DE RISCOS
GESTÃO DA SEGURANÇA DA INFORMAÇÃO
28/AGO/2007COMITÊ DE TECNOLOGIA ANJ 2007 24
ISO 17799:2005
Garantindo que o acesso à informação seja obtido somente
por pessoas autorizadas.
Garantindo a integridade da informação e dos
sistemas de processamento.
Garantindo que os usuários autorizados tenham acesso à informação e aos sistemas sempre que necessário.
Garantindo que o destinatário possa verificar a autoria e/ou a origem de uma
informação.
C onfidencialidadeI ntegridadeD isponibilidadeA utenticidade
Ou seja, mantendo a CIDA!
Como a Segurança da Informação pode contribuir para a redução de riscos?Como a Segurança da Informação pode contribuir para a redução de riscos?
28/AGO/2007COMITÊ DE TECNOLOGIA ANJ 2007 25
Padrões de Mercado como BaseCOSO e ISO17799Padrões de Mercado como BaseCOSO e ISO17799
Riscos em Comum:• Infra-estrutura• Segurança Física• Sistemas de TI• Conformidade Legal• Back-Ups• Certificados Digitais• etc.
=Segurança da Informação
(Integridade, Confidencialidade e Disponibilidade)
Copyright© COSO
28/AGO/2007COMITÊ DE TECNOLOGIA ANJ 2007 26
Avaliar Riscos e ControlesAvaliar Riscos e ControlesA
utom
átic
osM
anua
is
Detectivos Preventivos
1. Foco nos riscos dos objetivos estratégicos;
2. Foco na efetividade e eficiência das operações;
3. Foco na confiabilidade dos demonstrativos financeiros;
4. Foco na conformidade com as leis e regulamentos aplicáveis.
28/AGO/2007COMITÊ DE TECNOLOGIA ANJ 2007 27
Consolidar a Gestão de RiscosConsolidar a Gestão de Riscos
ConscientizarIniciarAplicar
IntegrarEspecializar
1ª etapa
2ª etapa
3ª etapa
4ª etapa
5ª etapa
Proposta
•Melhoria pontual do ambiente de controles internos
•Aculturamento dos executivos
•Formalização de normas e processos
Proposta
•Melhoria ampla do ambiente de controles internos
•Definição da arquitetura de gestão de riscos (política, estrutura, processos e etc)
•Descentralização da gestão de riscos e controles
Proposta
•Incorporação da gestão de riscos nas atividades diárias
•Priorização corporativa da administração dos riscos
Proposta
•Métodos específicos de quantificação de riscos
Proposta
•Gestão dos Riscos integrada à Gestão do Negócio
28/AGO/2007COMITÊ DE TECNOLOGIA ANJ 2007 28
Comitê de Riscos e Segurança da Informação
AuditoriaInterna
No OrganogramaNo Organograma
Diretoria Geral
Demais Gerências
Demais Gerências
Diretoria de Tec. e
Operações
Demais Gerências
Ger. Jurídico
Ger. Controladoria
Ger. Serv. de RH
Ger. Desenv.
Organizacio-nal
Ger. de Tecnologia
Riscos&SI
Demais Gerências
Diretoria deFinanças e
Valor
Diretoria de Cultura
Organizacional
Diretoria Executiva Resultados
28/AGO/2007COMITÊ DE TECNOLOGIA ANJ 2007 29
Escopo de atuação da Ger. de Riscos e Segurança da InformaçãoEscopo de atuação da Ger. de Riscos e Segurança da Informação
• Gerenciamento do processo de Gestão de Riscos;– Desde a normatização até reporte ao comitê;
• Gerenciamento do processo de Gestão da Seg. da Informação;– Desde a normatização até a coordenação da implantação dos
controles;
• Avaliar riscos em processos e controles (ex-auditoria interna);– Até 2009 com atuação bastante limitada;
• Participação consultiva nos grandes projetos;
• Controladoria não-financeira:– Definir padrões e processos para criação e divulgação de políticas e
normas;– Definir padrões e processos para mapeamento de processos;– Coordenar atendimento a fiscais;– Homologação de perfis de acesso ao SAP;
28/AGO/2007COMITÊ DE TECNOLOGIA ANJ 2007 30
Processo de Gestão de Riscos na InfogloboProcesso de Gestão de Riscos na Infoglobo
28/AGO/2007COMITÊ DE TECNOLOGIA ANJ 2007 31
Risco = Possibilidade X ImpactoRisco = Possibilidade X Impacto
28/AGO/2007COMITÊ DE TECNOLOGIA ANJ 2007 32
Matriz de Riscos da InfogloboMatriz de Riscos da Infoglobo
MA 5 5 10 15 20 25
A 4 4 8 12 16 20
M 3 3 6 9 12 15
B 2 2 4 6 8 10
MB 1 1 2 3 4 51 2 3 4 5
MB B M A MAPossibilidade
Imp
acto
Riscos acompanhados pelo gestor e pelo Comitê de Riscos
e Seg. da Informação
Riscos acompanhados pelo gestor e pelo seu diretor
Riscos acompanhados somente pelo gestor
28/AGO/2007COMITÊ DE TECNOLOGIA ANJ 2007 33
Uma visão macro da área deRiscos e Segurança da InformaçãoUma visão macro da área deRiscos e Segurança da Informação
AutoAudit
Processos
Riscos+Controles
Check-up Tool
Matriz dos Grandes Riscos da Infoglobo - 15/ago/2006
25
24
23
22
21
20
1918 17
16 1514
13
1211
109
8
76
543
2
12627
28
2930 31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57 58
59
6061
62
6364
65
66
6768
69
70
0
1
2
3
4
5
6
0 1 2 3 4 5 6
Possibilidade
Impa
cto
Quali
tativ
o
Matriz de Riscos
Rel. Gestores
Dia-a-Dia
Obrigações Regulatórias
Plano de Continuidad
e
Tratamento
dos Riscos
CONFIDENCIAL
FIM.
Riscos e Segurança da InformaçãoCarlos Henrique Safini dos Reis
Email: [email protected].: (21) 2534-5858
