quarta-feira, 2 de novembro de 2016

Gerenciamento de riscos e contratos de TI

Segue abaixo uma vídeo-aula explicando os conceitos, processos de gerenciamento de riscos e as aquisições.




Postado por às Nenhum comentário:

O COBIT da ISACA

O COBIT 5 para riscos substituiu o framework de riscos de TI  da ISACA (IT Risk framework), publicado em 2009. 

 Segue um vídeo explicando como de fato usar o COBIT 5:


Postado por às Nenhum comentário:

Frameworks focados na gestão de riscos




Pode-se controlar os riscos na área de TI através do uso de ferramentas e metologias como o PMBOK, ITIL, COBIT etc. 

Existem também frameworks focados em gestão de riscos como o M_O_R da OGC e o Risk IT que foi concebida pela ISACA.

Abaixo segue uma pequena descrição desses dois frameworks focados na gestão de riscos:

M_o_r


Gestão de Risco (M_o_R) é um mapa de rotas para o gerenciamento de riscos. Ele pode ajudar as organizações a identificar, avaliar e controlar os riscos e estabelecer estruturas eficazes para tomar decisões informadas.

Capacidades chaves do M_o_R: Apoia os resutados dos negócios, Ativa mudanças dos negócios, Gerencia riscos de acordos com a necessidade do negócio, Otimiza as experiência dos clientes, Mostra o valor do dinheiro, Melhorar continuamente.

Risk IT


"O Risk IT Framework preenche a lacuna entre os frameworks de gerenciamento de riscos genéricos e detalhado(principalmente relacionadas à segurança) frameworks de gerenciamento de riscos de TI detalhados . Ele fornece uma visão end-to-end, compreensível de todos os riscos relacionados ao uso da TI e um tratamento cuidadoso da gestão de riscos, do tom e da alta cultura, para questões operacionais. Em resumo, o framework permitirá que as empresas entendam e gerenciem todos os tipos de riscos de TI significativos, construindo sobre os componentes existentes relacionados ao risco dentro dos frameworks atuais do ISACA, isto é, COBIT e Val IT."










Postado por às Nenhum comentário:

Sintetizando os conceitos de Riscos na TI

Nesta postagem iremos pontuar os conceitos mais importantes acerca dos riscos na TI.


O que seria então um risco?

"Conhecimento desconhecido"
    • Possíveis estados identificados
    • Resultados ambígous
    • Variáveis quantificáveis
    • Ações de contingência conhecidos


O que é gestão de riscos na TI ?

"Gestão de Riscos – Permite que a organização reconheça todos os riscos (e oportunidades) derivados da TI para o negócio e que decida e tenha planos para mitigá-los na medida que julgue necessário." (TCU)

Onde se encaixa a gestão de riscos na Governança corporativa?


Fonts: <http://portal.tcu.gov.br/comunidades/governanca-de-ti/entendendo-a-governanca-de-ti/>
<http://repositorio.unb.br/bitstream/10482/17427/1/2014_HildieneCastroSilva.pdf>
Postado por às Nenhum comentário:

Deloitte


Olá pessoal, estou trazendo para vocês mais um vídeo.

Esse vídeo apresenta a  Deloitte e o seu serviço governança. A Deloitte é uma empresa de auditoria, consultoria empresarial, consultoria tributária, assessoria financeira,risk advisory e outsourcing. Fundada em 1845, em Londres, possui hoje 700 escritórios em mais de 150 países, e conta com cerca de 244.000 profissionais.

Os serviços de governança oferecidos por essa empresa pode ser uma solução "terceirizada" para uma organização que deseja realizar governança de TIC.

Assistam !




Postado por às Nenhum comentário:

8 Passos para gerir riscos

Olá pessoal, estou trazendo mais um vídeo super legal.

O vídeo abaixo apresenta 8 passos para realizar gestão de riscos. 

PS: O vídeo está em português de Portugal, mas dá para entender bem a apresentação.

Assistam ! 



Postado por às Nenhum comentário:

Estratégia de Governança Digital

Olá pessoal, tudo bem ? Estou trazendo para vocês hoje um vídeo muito legal. 

Esse vídeo é do seminário “Estratégia de Governança Digital – para muito além das TIC” que foi realizado pela Secretaria de Logística e Tecnologia da Informação (SLTI) no Ministério do Planejamento. O evento contou com a presença de gestores da Administração Pública Federal (APF), dirigentes de empresas estatais e privadas de Tecnologia da Informação e das Comunicações (TIC), servidores públicos e representantes da sociedade.


O objetivo do encontro foi estabelecer um diálogo interno sobre como as TICs irão ajudar a garantir ao cidadão maior acesso às informações e serviços, além de participar das decisões de governo através de consultas públicas.


A SLTI é responsável por orientar os órgãos da Administração Pública Federal sobre as iniciativas e normatizações da área de TIC. Nesse sentido, será produzido agora, a partir da realização do evento, um documento que traçará diretrizes, metas e objetivos para o período de 2015 a 2019. A Estratégia de Governança Digital (EGD) substituirá a Estratégia Geral de Tecnologia da Informação e Comunicações (EGTIC), instrumento anteriormente utilizado para alinhar as iniciativas de TIC às estratégias de ações do governo federal.


Assistam ! 


Postado por às Nenhum comentário:

Gestão de Riscos em 4 passos

Boa noite pessoal,

Já vimos que o gerenciamento de riscos é muito importante para qualquer organização. Entretanto o gerenciamento de riscos pode não trazer benefícios ao negócio se for realizado de forma desassociada das necessidades organizacionais e deturpar a visão dos riscos que devem ser aceitos para evoluir, além dos inerentes ao negócio que, se não forem corretamente endereçados, podem travar a evolução da organização e por consequência, levar a perda de oportunidades.


A importância da gestão de riscos está sendo crescendo gradativamente dentro das organizações, porém ainda enfrenta grande resistência, pois, possui um custo envolvido nisso. Esse custo muitas vezes é considerado desnecessário para a alta administração das organizações.

A gestão de riscos traz uma vantagem competitiva para as organizações, porém se aplicado de maneira equivocada pode levar ao caminho inverso.

Com objetivo de potencializar a Gestão de Riscos de forma estratégica dentro das organizações, é sugerida uma metodologia de classificação baseada em 4 passos, sempre apoiada por um comitê (em caso de empresas de maior porte) ou dos seus diretores:

  1. Inventário dos riscos;
  2. Categorização dos Riscos e Agentes;
  3. Matriz de Risco;
  4. Tratamento do risco.
Fonte: 
http://segurancadainformacao.modulo.com.br/gestao-estrategica-de-riscos-em-4-passos

Postado por às Nenhum comentário:

Um pouco mais sobre riscos...

Boa noite pessoal,
Passando para deixar mais algumas informações relacionadas aos riscos em TI. Espero que seja bem útil.

Já vimos que o gerenciamento de riscos é muito importante para toda e qualquer organização ajudando-a a superar diversas situações que possam vir a ocorrer.
A avaliação de riscos é a primeira etapa para o gerenciamento de riscos. Ela permite que a organização identifique as ameaças potenciais e perceba o quanto esses riscos podem afetar em suas atividades.

Para determinar o risco de um serviços de TI as ameaças e as vulnerabilidades potenciais devem ser analisadas em conjunto com a capacidade de controle da empresa em prevenir, identificar e mitigar riscos. Esta capacidade é diretamente relacionada a maturidade dos processos de gestão de serviços de segurança (COBIT), e sua conformidade com os ditames da ISO/IEC 20000 e ISO/IEC 27000.

A metodologia de avaliação de risco BRAVO abrange nove etapas principais, que são:
1. Etapa 1: Caracterização dos serviços e sistemas.
1.1. Identificação dos serviços de TI ou serviços principais.
1.2. Identificação dos Serviços de suporte ou serviços secundários.
1.3. Identificação dos Serviços intensificadores.
1.4. Identificação dos processos chave que devam ser analisados.
1.5. Identificação dos ativos críticos para os serviços.
1.5.1. Enumeração das vulnerabilidades e identificação das ameaças.
1.5.2. Confirmação dos achados
1.5.2.1. Testes de penetração
1.5.2.2. Simulação de violação de acesso (cracking de senhas, teste de segurança em aplicativos, etc).
2. Etapa 2: Identificação de ameaças.
2.1. Qualificação das fontes de ameaças.
3. Etapa 3: Identificação de vulnerabilidade.
3.1. Qualificação das falhas ou fraquezas na segurança.
4. Etapa 4: Análise dos controles.
4.1. Análise dos processos
4.1.1. Análise da maturidade
4.1.1.1. Avaliação de perfil da maturidade
4.1.1.2. Avaliação de nível da maturidade
4.1.2. Geração mapa de maturidade dos processos e objetivos de controle.
4.1.3. Geração do mapa de conformidade ISO 20.000.
4.1.4. Geração do Termo de Aplicabilidade ISO 27.000.
4.1.4.1. Geração do mapa de conformidade ISO 27.000.
4.1.5. Qualificação dos processos e controles necessários para a mitigação das falhas.
5. Etapa 5: Determinação de probabilidade.
5.1. Análise e combinação dos dados qualitativos e quantitativos das ameaças, vulnerabilidades e capacidade controle.
6. Etapa 6: Análise de impacto.
6.1. Qualificação dos danos causados pelo exercício das vulnerabilidades ou ameaças.
7. Etapa 7: Determinação de risco.
7.1. Quantificação e qualificação do risco.
8. Etapa 8: Plano de melhorias ou recomendações de controle.
8.1. Determinar a estratégia de mitigação (Assumir o risco / Evitar o risco / Limitar o risco / Transferir o risco).
8.1.1. Determinar o nível de risco residual aceitável.
8.1.2. Determinação do foco da ação de mitigação (atualização, correção / atuar na arquitetura / diminuir o ganho potencial do atacante).
9. Etapa 9: Monitoramento dos riscos e análise crítica.
9.1. Monitorar agenda de correções.
9.2. Monitorar incidentes e problemas de segurança da informação.
9.3. Organizar reavaliações dos riscos.

 Fonte: https://marceloegito.wordpress.com/2012/10/25/etapas-da-avaliao-de-riscos-de-ti/

Postado por às Nenhum comentário:

Riscos de TI nas empresas

O mercado está cada vez mais competitivo e as empresas estão sofrendo cada vez mais pressão para melhorar seus processos e aperfeiçoar sua gestão de risco. Com os departamentos de tecnologia da informação isso não é diferente.
Segundo pesquisas realizadas pela Tech Supply em 2014 constatou que os principais desafios das organizações são relacionados à gestão de riscos e também com a prevenção de fraudes e/ou operações irregulares sendo mais importante que questões como redução de custos.
Muitas empresas ainda tratam a governança em TI como custo, porém ela deve ser visualizada como investimento.
Nesse contexto, a Governança Corporativa, em relação aos riscos, não pode ser encarada como custo, mas como investimento. É importante que quando um problema ocorra ele tente ser simulado novamente, para que a organização crie políticas para não sofrer com esse problema novamente ou pelo menos reduzi os efeitos disto.


Nos próximos posts falaremos mais sobre os riscos em TI e também sobre estratégias e planos para governança.

Fonte: http://cio.com.br/noticias/2014/09/01/gestao-de-riscos-desafia-empresas/
Postado por às Nenhum comentário:

terça-feira, 26 de julho de 2016

Boa tarde, sejam todos bem vindos ao nosso blog. Antes de falarmos especificamente  sobre os riscos de TIC (Tecnologia da Informação e Comunicação), vamos definir alguns pontos que nos auxiliarão no entendimento da Governança em TI.

O que é governança?
Segundo o IBGC, Governança Corporativa é o sistema pelo qual as organizações são dirigidas, monitoradas e incentivadas, envolvendo as práticas e os relacionamentos entre proprietários, conselho de administração, diretoria e órgãos de controle. As boas práticas de Governança Corporativa convertem princípios em recomendações objetivas, alinhando interesses com a finalidade de preservar e otimizar o valor da organização, facilitando seu acesso ao capital e contribuindo para a sua longevidade.
O que é governança de TI?É a governança corporativa aplicada à governança de TIC. Ela segue diversas normas consagradas internacionalmente como: COBIT, ISO 38500, etc. Todo planejamento que ocorra deve estar alinhado às necessidades do negócio da organização, de uma forma que permita o desenvolvimento da TI.

                                      
Como a governança se aplica?
  • Segundo o ISACA (CGEIT), a governança em TI abrange cinco domínios principais:
  • Frameworks de Governança de TI;
  • Alinhamento Estratégico;
  • Entrega de Valor de TI ao negócio;
  • Gerenciamento de Riscos;
  • Gestão de Recursos;
  • Medição de Performance.

Fonte: https://daryus.com.br/as-10-maiores-duvidas-sobre-governanca-riscos-e-conformidade-grc/


Postado por às Nenhum comentário:

sábado, 16 de julho de 2016

Apresentação do Blog






Olá ! Este blog é composto pelo aluno Fabio Nascimento, Matheus Costa e Ytallo Augusto, participantes da disciplina Tópicos Especiais em Engenharia de Software II da Universidade Federal de Sergipe. 

Este período (2016.1) vamos trazer para vocês mais informações sobre estratégias e planos na governança de TIC nas organizações. E ainda, os riscos da TIC também serão trazidos à tona neste  blog.

Fique atento as nossas próximas postagens, esperamos te ver por lá !
Postado por às Um comentário:
Assinar: Postagens (Atom)