Apresentação da palestra de Maira Hernandez - Câmara Brasil Alemanha


Sumário

1. Situação atual

2. Desafios para a segurança

3. Eficiência x Eficácia Corporativa

4. Nossa experiência

5. Outros projetos

6. Conclusões

© AnyHelp International - All Rights Reserved

Situação atual


Introdução As T.I.C. tornam os dados e conhecimento acessíveis

► Sem intermediários, sem fronteiras, instantaneamente e com qualquer fim

A evolução tecnológica é exponencial

► Transmitem-se gigantescos volumes de dados em segundos

► Globalização total: Qualquer ação pode ser realizada de qualquer parte do

planeta

Empresas e pessoas são objetos de ataques…

► De qualquer ponto, por qualquer meio e com qualquer objetivo, (terrorismo,

roubos, extorsão, fraudes, sabotagens, cibercrimes…)

Estão generando um novo marco global, mas nós os

conhecemos?

► Os meios de comunicações, procedimentos e leis tradicionais já não são

válidos

► A empresa deve se preparar e se adaptar a um novo marco global e…

LEGAL


Introdução

Atualmente, sabemos +, somos + produtivos e também…

+ vulneráveis que nunca

PRIVACIDADE PROPRIEDADE

ORDEM

ECONÔMICA

SEGURANÇA

DOS ESTADOS

+ =

a normativa se estabelece para evitar

violacão desses direitos e bens

jurídicos

© AnyHelp International - All Rights Reserved Pág. 6 Pág. 6 © AnyHelp International - All Rights Reserved

Tendência

► A sociedade hoje é mais global do que nunca e cada vez será

mais

► Os sistemas de informação estão cada vez mais complexos e

abrangem todos os âmbitos

► As regulações devem se adaptar a cada situação e âmbito, não

somente no ambiente específico do legislador

Regular e Legislar


Tendências Direitos dos cidadãos

► Diretiva 95/46/CE: Tratamento dados pessoais U.E.

► Health Insurance Portability and Accountability Act (HIPAA) – U.S.A.

► The Fair Credit Reporting Act (FCRA): Intimidade e vida privada em

U.S.A.

► Directiva 2000/31/CE: Tratamento comércio eletrônico U.E.

Ordem Econômica

► SOX, Basiléia, MIFID, etc.

Segurança dos Estados

► USA Patritot Act

► Directiva (2006/24/CE) de conservação e tratamento de dados

► Grupo Ação Financeira Internacional (GAFI)


Objetivos

Descumprimento

Inconsciente

Descumprimento Consciente

Cumprimento Consciente

Cumprimento Inconsciente


Desafios para a Segurança


Identificar

Traduzir

Analisar Riscos

Auditar

Reportar

Modelo de gestão


Hipóteses


Vulnerabilidades

• Aquilo que reduza:

meus pertences ou economias,

minha capacidade de geração de

receita,

minha integridade física e mental

Hipóteses


Hipóteses

1. Acidentes


Hipóteses

2. Enfermidades


3. Ataques

Hipóteses


► Analiso minha atividade

► Faço constatações

► Detecto ameaças reais

► Avalio o impacto

► Incorporo controles

Hipóteses


Hipóteses

Ativos Críticos

1. Cérebro 9.9

2. Boca e laringe 9.5

3. Medula Espinal 9.3

4. Coração 9.1

5. Pulmões 8.7

6. Fígado 8.2

7. Sistema Digestivo 8.0

8. Rins 7.6

9. Braços 7.3

10. Olhos 6.9

11. Pernas 6.8

12. …


Hipóteses

Caminhar é Perigoso


Interação física…perigosíssima

Hipóteses


Hipóteses

Plano Diretor de Segurança

► Disponibilidade

► Integridade

► Confidencialidade


Hipóteses

Disponibilidade

Transferência de Riscos

• Seguro médico – Gastos maiores

• Seguro de vida

• Seguro de automóveis

• Seguro para seu lar

• Seguro familiar

• Seguro de danos a terceiros

• Seguro por invalidez

• Seguro contra demandas de terceiros

• Seguro de sua cabeça e boca

• Seguro contra sequestro

• Seguro para o “homem-chave” para a empresa


Disponibilidade

Acordo de nível de serviço

Hipóteses


Confidencialidade e Integridade

Hipóteses


• 5 Fases

– Desenho 9 meses R$ 6.1M

– Desenvolvimento 11 meses R$ 3.5M

– Provisionamento 6 meses R$17.3M

– Implementação 8 meses R$ 5.1M

– Provas e liberação 6 meses R$ 2.1M

• Budget 40 meses R$ 34.1M

Plano Diretor de Segurança

Hipóteses


Eficiência x Eficácia


Comparativo

Eficiência Eficácia

Ênfase nos meios Ênfase nos resultados

Fazer as coisas corretamente Fazer as coisas corretamente

Resolver problemas Alcançar objetivos

Economizar custos Criar mais valores

Cumprir tarefas e obrigações Obter resultados

Capacitar os profissionais Proporcionar eficácia aos profissionais

Enfoque reativo (Do passado ao presente)

Enfoque pró - ativo (Do futuro ao presente)


Fórmula para o sucesso

Eficácia

Eficiência

Inovação

Boa Governança


Standards Internacionais de Segurança

► A lei NÃO busca aumentar a segurança das

empresas, só reduz condutas e más práticas

► Standards internacionais propõem controles para

mitigar os riscos

► Implantar controles <> reduzir riscos

► + Controles = 90% do Custo de Cumprimento

► Riscos materiais (próprios) custam dinheiro

► + Controles <> – Riscos

► Quais controles reduzem quantos riscos?


Estratégia

Alinhar objetivos

► Compensar a diferença entre impacto interno

para a empresa e a ameaça externa

► Reduzir o risco frente a terceiros

Risco de reputação

Risco econômico

Risco de integridade pessoal


Intencional Oportunista Acidental

RISCO

Anônimo Complexo Probabilidade

Tipos de Riscos


Nossa experiência


Situação inicial

• Durante a execução do Plano Diretor de Segurança da Informação

no ano de 2002 foi identificado a necesidade de conhecer e

identificar claramente as legislações e regulações específicas

que afetam os sistemas de informação do Grupo BBVA

• No ano de 2005 iniciou-se o desenvolvimento de Compliance IT,

analizando todas normativas que afetam o Grupo BBVA em

diferentes âmbitos relacionados com o mundo da tecnologia da

Informação e comunicações

• As análises são feitas até hoje, abrangendo toda a legislação

vigente nos diferentes países onde o Grupo BBVA tem presença a

nível internacional


Negócio

Tecnologia

Compliance

Jurídico


Necesidade

• O desenvolvimento de Compliance IT envolve a interação

de um serviço único para todas obrigações legais detectadas

em matéria de TI para o Grupo BBVA com os controles

técnicos que posibilitam o cumprimento das mesmas

• Através de Compliance IT é possível ter uma uma visão

global e clara do nível de impacto que as distintas

legislações tem nas tecnologias da informação

• A ferramenta foi desenvolvida em versão web, e está

disponível na intranet do Grupo, o que facilita o acesso dos

usuários em qualquer país e a realização de consultas de

um modo rápido, atualizado, ágil e simples

Objetivo


Metodologia

Consulta de fontes oficiais

Orgãos Emissores/Auditores

Identificação normativa aplicável

Análises de obrigações legais

Correspondência com Standares Internacionais

Auditoria


Alcance

Geográfico

América

Europa

Internacional

ISO 27001

COBIT 4.1

Controles internos

Sociedade da informação

Setores: banco, fundos de

pensões, mercado de

valores e seguros

Outros: Assinatura

eletrônica, proteção de

dados, auditoria e controle

interno, sancionador e

penal, etc.

Técnico Funcional Institucional

Legisladores nacionais:

Congresso, Assembléia,

Parlamento

Reguladores nacionais:

(Bancos nacionais, CNMV,

Superintendências, etc.)

Internacionais: ISO,

ISACA, PCI, Comitê

Basiléia, etc.

Corporativo: Normativa e

políticas internas


Alcance 2005


Alcance 2006


Alcance 2007


Alcance 2008


Alcance 2009-Atualidade


Alcance técnico

11 Objetivos de alto nível

133 Objetivos de controle

34 Objetivos de alto nível

318 Objetivos de controle

Associação com o marco de

controle do Grupo

ISO 27001

COBIT 4.1

Controles internos


Alcance funcional

352

127

124

88

67

48

43

26

18

11

9

9

Banca y otros servicios financieros

Sociedad de la Información

Privacidad

Mercantil

Penal

Procesal

Propiedad Intelectual

Protección al Consumidor

Auditoría y Control Interno

Tributario y Fiscal

Seguridad Física

Internacional

Internacional

Segurança Física

Tributário e Fiscal

Auditoria e Controle Interno

Proteção ao Consumidor

Propriedade Intelectual

Processual

Penal

Comércio

Privacidade

Sociedade da Informação

Bancos e outros serviços financeiros


Emissores

Legislação

Nacional

Legislação Estadual

Legislação Local

Standards Internacionais

Jurisprudência

Legislação Internacional

Normas Corporativas

Normas nacionais

Standards e Normas Corporativas

Jurisprudência

Legislação Internacional


• Revisão e controle de normativa e controles técnicos

associados

• Os conteúdos estão ordenados e classificados por países,

empresas, atividades ou outro critério aplicável

• Manutenção contínua de toda a informação integrada

• Acesso por parte dos usuários autorizados no Grupo BBVA

• Atualização permanente com um informe executivo

trimestral com as últimas novidades regulatórias,

mantenutenção e informando sobre as leis revogadas

Conteúdo


• Nacionais • Internacionais • Normas Corporativas

Conhecer

• Auditoria interna

• Plano de ação Analisar

• Leis em vias de aprovação

• Modificações substanciais Alertas

• Standards internacionais: ISO, COBIT

• Controles internos corporativos Controles técnicos

• Consultas sobre a aplicabilidade da legislação

• Consultoria especializada Legal Help Desk

• Interpretação dos juízes e magistrados Jurisprudência

Funcionalidades


Benefícios

Informação • Ágil e efetiva

Disponibilidade • 24x7 qualquer lugar

Métricas • Auditorias internas

Resposta • Análises de riscos

Valor • Melhora contínua

Resultado • Boa governança corporativo

Não cumprir Não é uma opção


Outros projetos


► As obrigações legais não são um fim em si mesma

Cada vez é mais evidente que o fim é proteger

► Os reguladores serão cada vez mais e mais exigentes

Haverá mais obrigações e cada vez mais específicas

► É indispensável o conhecimento da organização

Criar um ambiente controlado: sistemas eficientes, eficazes e

automatizados

Para analisar também os riscos legais

► É básico traduzir as normas para controles

CoBIT e ISO desempenham um papel fundamental

Não podemos gerenciar o que não se pode medir

Conclusões

MUITO OBRIGADA Desde 1998

Alguma pergunta?

Maira Hernández.- [email protected]

Alamir Paulo Jr.- [email protected]

Apresentação da palestra de Maira Hernandez - Câmara Brasil Alemanha

Technology

Transcript of Apresentação da palestra de Maira Hernandez - Câmara Brasil Alemanha