apresentação da palestra de maira hernandez - câmara brasil alemanha
DESCRIPTION
Apresentação da palestra ministrada por Maira Hernandez, Diretora de Compliance na AnyHelp International, no dia 07 de Julho de 2011 na Câmara Brasil Alemanha, sede São Paulo.TRANSCRIPT
© AnyHelp International - All Rights Reserved Pág. 1
© AnyHelp International - All Rights Reserved Pág. 2
Sumário
1. Situação atual
2. Desafios para a segurança
3. Eficiência x Eficácia Corporativa
4. Nossa experiência
5. Outros projetos
6. Conclusões
© AnyHelp International - All Rights Reserved
Situação atual
© AnyHelp International - All Rights Reserved Pág. 4
Introdução As T.I.C. tornam os dados e conhecimento acessíveis
► Sem intermediários, sem fronteiras, instantaneamente e com qualquer fim
A evolução tecnológica é exponencial
► Transmitem-se gigantescos volumes de dados em segundos
► Globalização total: Qualquer ação pode ser realizada de qualquer parte do
planeta
Empresas e pessoas são objetos de ataques…
► De qualquer ponto, por qualquer meio e com qualquer objetivo, (terrorismo,
roubos, extorsão, fraudes, sabotagens, cibercrimes…)
Estão generando um novo marco global, mas nós os
conhecemos?
► Os meios de comunicações, procedimentos e leis tradicionais já não são
válidos
► A empresa deve se preparar e se adaptar a um novo marco global e…
LEGAL
© AnyHelp International - All Rights Reserved Pág. 5
Introdução
Atualmente, sabemos +, somos + produtivos e também…
+ vulneráveis que nunca
PRIVACIDADE PROPRIEDADE
ORDEM
ECONÔMICA
SEGURANÇA
DOS ESTADOS
+ =
a normativa se estabelece para evitar
violacão desses direitos e bens
jurídicos
© AnyHelp International - All Rights Reserved Pág. 6 Pág. 6 © AnyHelp International - All Rights Reserved
Tendência
► A sociedade hoje é mais global do que nunca e cada vez será
mais
► Os sistemas de informação estão cada vez mais complexos e
abrangem todos os âmbitos
► As regulações devem se adaptar a cada situação e âmbito, não
somente no ambiente específico do legislador
Regular e Legislar
© AnyHelp International - All Rights Reserved Pág. 7 Pág. 7 © AnyHelp International - All Rights Reserved
Tendências Direitos dos cidadãos
► Diretiva 95/46/CE: Tratamento dados pessoais U.E.
► Health Insurance Portability and Accountability Act (HIPAA) – U.S.A.
► The Fair Credit Reporting Act (FCRA): Intimidade e vida privada em
U.S.A.
► Directiva 2000/31/CE: Tratamento comércio eletrônico U.E.
Ordem Econômica
► SOX, Basiléia, MIFID, etc.
Segurança dos Estados
► USA Patritot Act
► Directiva (2006/24/CE) de conservação e tratamento de dados
► Grupo Ação Financeira Internacional (GAFI)
© AnyHelp International - All Rights Reserved Pág. 8
Objetivos
Descumprimento
Inconsciente
Descumprimento Consciente
Cumprimento Consciente
Cumprimento Inconsciente
© AnyHelp International - All Rights Reserved
Desafios para a Segurança
© AnyHelp International - All Rights Reserved Pág. 10 Pág. 10 © AnyHelp International - All Rights Reserved
Identificar
Traduzir
Analisar Riscos
Auditar
Reportar
Modelo de gestão
© AnyHelp International - All Rights Reserved Pág. 11 Pág. 11 © AnyHelp International - All Rights Reserved
Hipóteses
© AnyHelp International - All Rights Reserved Pág. 12 Pág. 12 © AnyHelp International - All Rights Reserved
Vulnerabilidades
• Aquilo que reduza:
meus pertences ou economias,
minha capacidade de geração de
receita,
minha integridade física e mental
Hipóteses
© AnyHelp International - All Rights Reserved Pág. 13 Pág. 13 © AnyHelp International - All Rights Reserved
Hipóteses
1. Acidentes
© AnyHelp International - All Rights Reserved Pág. 14
Hipóteses
2. Enfermidades
© AnyHelp International - All Rights Reserved Pág. 15 Pág. 15 © AnyHelp International - All Rights Reserved
3. Ataques
Hipóteses
© AnyHelp International - All Rights Reserved Pág. 16 Pág. 16 © AnyHelp International - All Rights Reserved
► Analiso minha atividade
► Faço constatações
► Detecto ameaças reais
► Avalio o impacto
► Incorporo controles
Hipóteses
© AnyHelp International - All Rights Reserved Pág. 17 Pág. 17 © AnyHelp International - All Rights Reserved
Hipóteses
Ativos Críticos
1. Cérebro 9.9
2. Boca e laringe 9.5
3. Medula Espinal 9.3
4. Coração 9.1
5. Pulmões 8.7
6. Fígado 8.2
7. Sistema Digestivo 8.0
8. Rins 7.6
9. Braços 7.3
10. Olhos 6.9
11. Pernas 6.8
12. …
© AnyHelp International - All Rights Reserved Pág. 18 Pág. 18 © AnyHelp International - All Rights Reserved
Hipóteses
Caminhar é Perigoso
© AnyHelp International - All Rights Reserved Pág. 19 Pág. 19 © AnyHelp International - All Rights Reserved
Interação física…perigosíssima
Hipóteses
© AnyHelp International - All Rights Reserved Pág. 20 Pág. 20 © AnyHelp International - All Rights Reserved
Hipóteses
Plano Diretor de Segurança
► Disponibilidade
► Integridade
► Confidencialidade
© AnyHelp International - All Rights Reserved Pág. 21 Pág. 21 © AnyHelp International - All Rights Reserved
Hipóteses
Disponibilidade
Transferência de Riscos
• Seguro médico – Gastos maiores
• Seguro de vida
• Seguro de automóveis
• Seguro para seu lar
• Seguro familiar
• Seguro de danos a terceiros
• Seguro por invalidez
• Seguro contra demandas de terceiros
• Seguro de sua cabeça e boca
• Seguro contra sequestro
• Seguro para o “homem-chave” para a empresa
© AnyHelp International - All Rights Reserved Pág. 22
Disponibilidade
Acordo de nível de serviço
Hipóteses
© AnyHelp International - All Rights Reserved Pág. 23
Confidencialidade e Integridade
Hipóteses
© AnyHelp International - All Rights Reserved Pág. 24
• 5 Fases
– Desenho 9 meses R$ 6.1M
– Desenvolvimento 11 meses R$ 3.5M
– Provisionamento 6 meses R$17.3M
– Implementação 8 meses R$ 5.1M
– Provas e liberação 6 meses R$ 2.1M
• Budget 40 meses R$ 34.1M
Plano Diretor de Segurança
Hipóteses
© AnyHelp International - All Rights Reserved
Eficiência x Eficácia
© AnyHelp International - All Rights Reserved Pág. 26
Comparativo
Eficiência Eficácia
Ênfase nos meios Ênfase nos resultados
Fazer as coisas corretamente Fazer as coisas corretamente
Resolver problemas Alcançar objetivos
Economizar custos Criar mais valores
Cumprir tarefas e obrigações Obter resultados
Capacitar os profissionais Proporcionar eficácia aos profissionais
Enfoque reativo (Do passado ao presente)
Enfoque pró - ativo (Do futuro ao presente)
© AnyHelp International - All Rights Reserved Pág. 27
Fórmula para o sucesso
Eficácia
Eficiência
Inovação
Boa Governança
© AnyHelp International - All Rights Reserved Pág. 28
Standards Internacionais de Segurança
► A lei NÃO busca aumentar a segurança das
empresas, só reduz condutas e más práticas
► Standards internacionais propõem controles para
mitigar os riscos
► Implantar controles <> reduzir riscos
► + Controles = 90% do Custo de Cumprimento
► Riscos materiais (próprios) custam dinheiro
► + Controles <> – Riscos
► Quais controles reduzem quantos riscos?
© AnyHelp International - All Rights Reserved Pág. 29
Estratégia
Alinhar objetivos
► Compensar a diferença entre impacto interno
para a empresa e a ameaça externa
► Reduzir o risco frente a terceiros
Risco de reputação
Risco econômico
Risco de integridade pessoal
© AnyHelp International - All Rights Reserved Pág. 30
Intencional Oportunista Acidental
RISCO
Anônimo Complexo Probabilidade
Tipos de Riscos
© AnyHelp International - All Rights Reserved
Nossa experiência
© AnyHelp International - All Rights Reserved Pág. 32 Pág. 32 © AnyHelp International - All Rights Reserved
© AnyHelp International - All Rights Reserved Pág. 33
Situação inicial
• Durante a execução do Plano Diretor de Segurança da Informação
no ano de 2002 foi identificado a necesidade de conhecer e
identificar claramente as legislações e regulações específicas
que afetam os sistemas de informação do Grupo BBVA
• No ano de 2005 iniciou-se o desenvolvimento de Compliance IT,
analizando todas normativas que afetam o Grupo BBVA em
diferentes âmbitos relacionados com o mundo da tecnologia da
Informação e comunicações
• As análises são feitas até hoje, abrangendo toda a legislação
vigente nos diferentes países onde o Grupo BBVA tem presença a
nível internacional
© AnyHelp International - All Rights Reserved Pág. 34
Negócio
Tecnologia
Compliance
Jurídico
© AnyHelp International - All Rights Reserved Pág. 35
Necesidade
• O desenvolvimento de Compliance IT envolve a interação
de um serviço único para todas obrigações legais detectadas
em matéria de TI para o Grupo BBVA com os controles
técnicos que posibilitam o cumprimento das mesmas
• Através de Compliance IT é possível ter uma uma visão
global e clara do nível de impacto que as distintas
legislações tem nas tecnologias da informação
• A ferramenta foi desenvolvida em versão web, e está
disponível na intranet do Grupo, o que facilita o acesso dos
usuários em qualquer país e a realização de consultas de
um modo rápido, atualizado, ágil e simples
Objetivo
© AnyHelp International - All Rights Reserved Pág. 36
Metodologia
Consulta de fontes oficiais
Orgãos Emissores/Auditores
Identificação normativa aplicável
Análises de obrigações legais
Correspondência com Standares Internacionais
Auditoria
© AnyHelp International - All Rights Reserved Pág. 37
Alcance
Geográfico
América
Europa
Internacional
ISO 27001
COBIT 4.1
Controles internos
Sociedade da informação
Setores: banco, fundos de
pensões, mercado de
valores e seguros
Outros: Assinatura
eletrônica, proteção de
dados, auditoria e controle
interno, sancionador e
penal, etc.
Técnico Funcional Institucional
Legisladores nacionais:
Congresso, Assembléia,
Parlamento
Reguladores nacionais:
(Bancos nacionais, CNMV,
Superintendências, etc.)
Internacionais: ISO,
ISACA, PCI, Comitê
Basiléia, etc.
Corporativo: Normativa e
políticas internas
© AnyHelp International - All Rights Reserved Pág. 38
Alcance 2005
© AnyHelp International - All Rights Reserved Pág. 39
Alcance 2006
© AnyHelp International - All Rights Reserved Pág. 40
Alcance 2007
© AnyHelp International - All Rights Reserved Pág. 41
Alcance 2008
© AnyHelp International - All Rights Reserved Pág. 42
Alcance 2009-Atualidade
© AnyHelp International - All Rights Reserved Pág. 43
Alcance técnico
11 Objetivos de alto nível
133 Objetivos de controle
34 Objetivos de alto nível
318 Objetivos de controle
Associação com o marco de
controle do Grupo
ISO 27001
COBIT 4.1
Controles internos
© AnyHelp International - All Rights Reserved Pág. 44
Alcance funcional
352
127
124
88
67
48
43
26
18
11
9
9
Banca y otros servicios financieros
Sociedad de la Información
Privacidad
Mercantil
Penal
Procesal
Propiedad Intelectual
Protección al Consumidor
Auditoría y Control Interno
Tributario y Fiscal
Seguridad Física
Internacional
Internacional
Segurança Física
Tributário e Fiscal
Auditoria e Controle Interno
Proteção ao Consumidor
Propriedade Intelectual
Processual
Penal
Comércio
Privacidade
Sociedade da Informação
Bancos e outros serviços financeiros
© AnyHelp International - All Rights Reserved Pág. 45
Emissores
Legislação
Nacional
Legislação Estadual
Legislação Local
Standards Internacionais
Jurisprudência
Legislação Internacional
Normas Corporativas
Normas nacionais
Standards e Normas Corporativas
Jurisprudência
Legislação Internacional
© AnyHelp International - All Rights Reserved Pág. 46
• Revisão e controle de normativa e controles técnicos
associados
• Os conteúdos estão ordenados e classificados por países,
empresas, atividades ou outro critério aplicável
• Manutenção contínua de toda a informação integrada
• Acesso por parte dos usuários autorizados no Grupo BBVA
• Atualização permanente com um informe executivo
trimestral com as últimas novidades regulatórias,
mantenutenção e informando sobre as leis revogadas
Conteúdo
© AnyHelp International - All Rights Reserved Pág. 47
• Nacionais • Internacionais • Normas Corporativas
Conhecer
• Auditoria interna
• Plano de ação Analisar
• Leis em vias de aprovação
• Modificações substanciais Alertas
• Standards internacionais: ISO, COBIT
• Controles internos corporativos Controles técnicos
• Consultas sobre a aplicabilidade da legislação
• Consultoria especializada Legal Help Desk
• Interpretação dos juízes e magistrados Jurisprudência
Funcionalidades
© AnyHelp International - All Rights Reserved Pág. 48
Benefícios
Informação • Ágil e efetiva
Disponibilidade • 24x7 qualquer lugar
Métricas • Auditorias internas
Resposta • Análises de riscos
Valor • Melhora contínua
Resultado • Boa governança corporativo
Não cumprir Não é uma opção
© AnyHelp International - All Rights Reserved
Outros projetos
© AnyHelp International - All Rights Reserved Pág. 50
► As obrigações legais não são um fim em si mesma
Cada vez é mais evidente que o fim é proteger
► Os reguladores serão cada vez mais e mais exigentes
Haverá mais obrigações e cada vez mais específicas
► É indispensável o conhecimento da organização
Criar um ambiente controlado: sistemas eficientes, eficazes e
automatizados
Para analisar também os riscos legais
► É básico traduzir as normas para controles
CoBIT e ISO desempenham um papel fundamental
Não podemos gerenciar o que não se pode medir
Conclusões
MUITO OBRIGADA Desde 1998
Alguma pergunta?
Maira Hernández.- [email protected]
Alamir Paulo Jr.- [email protected]