Acesse nosso site para fazer o download dos slides e assistir a gravação do webinar: http://www.modulo.com.br/comunidade/webinar
Se você não passou os últimos anos em outro planeta, você e seus pares de TI devem ter notado que os riscos de sua cadeia de suprimentos tornaram-se os componentes mais relevantes e complexos de seu programa de Gestão de Riscos e Segurança da Informação.
Neste webinar vamos compartilhar com você as lições que os especialistas da Módulo aprenderam nos últimos anos ao implementar programas e soluções de Gestão de Riscos de Fornecedores de TI, assim como alguns cases de clientes nos Estados Unidos que conseguiram implementar estes processos de forma integrada com seus programas de Gestão de Riscos de TI e Segurança da Informação.
As experiências de profissionais que implementaram programas bem-sucedidos em organizações internacionais de diversos segmentos pode ajudar você a implementar um programa de Gestão de Riscos de Fornecedores de TI de classe mundial.
• Entenda como algumas empresas que estão entre as “Fortune 50” implementaram programas bem-sucedidos de Gestão de Riscos de TI e de Fornecedores;
• Conheça as lições aprendidas por nossos especialistas de gestão de Riscos de Fornecedores que trabalharam nestas implementações;
• Saiba como iniciar a implementação de um programa de Gestão de Riscos de Fornecedores de classe mundial.
Carlos Krause
Diretor Internacional de Serviços Profissionais - Módulo
Krause está na Módulo desde 1998 e como Diretor Internacional de Serviços Profissionais é responsável por todas as equipes de pré e pós venda para nossos clientes atuais e potencias na América do Norte, América Latina, Europa, Ásia e Oriente Médio.
Ele é um palestrante experiente e já foi convidado a se apresentar em grandes eventos internacionais como o Gartner Security and Risk Management, ISACA ISRM, ISACA CACS, MIS Training Institute IT-GRC, além de eventos regionais da ISC2.
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Gestão de Riscos de Fornecedores: Lições aprendidas nos campos de batalha!
1. Carlos Krause
Diretor Internacional de Serviços Profissionais
Módulo
Assista à gravação do webinar e faça o
download dos slides:
modulo.com.br/comunidade/webinar
4. Empresa
Softwares:
Módulo Risk Manager;
Módulo Command & Control Manager;
Módulo Smart City Manager;
Soluções para:
Governança, Riscos e Conformidades de TI;
Riscos Corporativos;
Infraestrutura Crítica;
Smart Cities;
Defesa;
Segurança Pública.
BRASIL
Rio de Janeiro
São Paulo
Brasília
Belo Horizonte (Aéras)
EUA
Atlanta
EUROPA
Londres
ÍNDIA
Mumbai
Fundação 1985
450 funcionários
Grupo Módulo:
Aéras
Bridge Consulting
Thrust
RustCon
5. Clientes
BRASIL
ANP - Agência
Nacional de Petróleo
BNDES
Caixa Econômica
Federal
CDCIBER
Defesa Civil - CENAD
Eletronuclear
FMC Technologies
Ipiranga
Itaú
Lojas Americanas
ÁFRICA
BPC - Banco de Poupança e
Crédito, S.A.R.L
SISP - Sociedade
Interbancária de Sistema de
Pagamentos
Sonangol - Angola
Troy - Angola
ÁSIA / ORIENTE MÉDIO
Abu Dhabi Urban Development &
Planning - Paladion
Commercial Bank of Dubai (CBC)
Etihad Airways - Paladion
Gulf Bank
VFS Global
EUROPA
AIB - Allied Irish Bank
Cesce - Portuguese Tax Authority
CGD - Caixa Geral de Depositos
EDP - Energias de Portugal
Global Seguros
IGFCSS - Instituto de Gestão de Fundos
de Capitalização da Segurança Social
Microland Ltd
SagePay
Sumitomo Mitsui Banking Corporation
Unisys
EUA / CANADÁ
ARC
BC Hydroelectric
Dell
FMC Technologies
General Dynamics Land Systems
Goodyear Tire & Rubber Co.
IBM
Johnson & Johnson, Inc.
Procter & Gamble Company
Sumitomo Mitsui Banking
Corporation
The College Board
The Hershey Company
Volkswagen Group VioPoint, Inc.
Worldpay US, Inc.
AMÉRICA LATINA
Banco Central do Peru
Banco de la Nación
Banco del Chaco
Banco Financiero del
Perú
Banobras
Cfmexico
Ecopetrol
HSBC
Presidencia Peru
Santander Rio
Magazine Luiza
Petrobras
Prefeitura Municipal
do Rio de Janeiro
SABESP
SESGE / Ministério da
Justiça
Technip
TAM
TIM
VISA - Cielo S.A
VIVO
7. Empresa do grupo Módulo que atende os mercados de
Minas Gerais e Espirito Santo.
Nasce do Know How da Módulo e conta com uma equipe
técnica especializada na implementação, customização e
treinamento do Software Módulo Risk Manager.
A equipe de consultoria da Aeras utiliza a Metodologia GRC
Metaframework, desenvolvida pela Módulo para apoiar sua
organização na criação e melhoria de processos de
Governança, Riscos e Conformidades
8. Uma empresa de Consultoria e Capacitação profissional focada em soluções para desafios de tecnologia da
informação e processos de negócio com um único fim – melhorar o desempenho das empresas.
Formada por uma equipe de consultores de alto desempenho, com experiencia em projetos de alta complexidade,
em organizações públicas e privadas.
• Gestão de Processos
• Desempenho Empresarial
• Estratégia
Business Consulting
• Certificações ITIL e COBIT
• Cursos in Company
• Ensino a Distância
TrainningIT Consulting
• Governança de TI
• Gestão de Serviços de TI
• Engenharia de Software
• Consultoria ITIL e Cobit
9. Startup incubada no Instituto Genesis, da PUC Rio de Janeiro,
especializada em desenvolvimento de soluções móveis para
comunicação inteligente.
ZAPR
ZAPR
Solução
corporativa
para
comunicação
segura e
colaborativa.
10. Prêmios, Certificações e Reconhecimentos
Qualified
Security
Assessor
Desenvolvimento
e inovação
tecnológica no
Brasil
2014
2011
2010
2008
2006
Módulo Risk Manager
avaliado pelos mais
importantes institutos de
pesquisa e analistas de TI do
mundo como uma das
melhores soluções do
mercado
2011
2012
2014
2012
2013
2014
Principal
publicação do
setor nos EUA
2011
2012
2013
2014
11. Certificações
1º software a receber a Certics
A CERTICS foi criada para comprovar se um
software é resultado de desenvolvimento e
inovação tecnológica no País.
Ao identificar esses softwares, que geram
desenvolvimento, competências, autonomia
tecnológica, capacidade inovativa e negócios
baseados em conhecimento no País, a
CERTICS potencializará o desenvolvimento
do mercado brasileiro de TI.
12. Modelo de Consultoria Módulo
Metodologia alinhada
às melhores práticas
do PMBOK e em
conformidade com
normas internacionais
para Segurança da
Informação e Gestão
de Riscos.
13. Visão 360º dos Riscos e Vulnerabilidades
da sua organização
Automatiza os processos de inventário, avaliação, análise e o tratamento e monitoramento dos Riscos
físicos e cibernéticos, generncia a Conformidade com normas e políticas, e Integra sistemas legados
de todas as disciplinas, permite uma visão holística da segurança e através de relatórios e dashbords
integrados aprimora a Governança.
16. Carlos Krause
Diretor Internacional de Serviços Profissionais
Módulo
Krause está na Módulo desde 1998 e como Diretor Internacional de
Serviços Profissionais é responsável por todas as equipes de pré e pós
venda para nossos clientes atuais e potencias na América do Norte,
América Latina, Europa, Ásia e Oriente Médio.
Ele é um palestrante experiente e já foi convidado a se apresentar em
grandes eventos internacionais como o Gartner Security and Risk
Management, ISACA ISRM, ISACA CACS, MIS Training Institute IT-GRC,
além de eventos regionais da ISC2.
17. Rich Licato, CISO, Airlines Reporting Corporation
Carlos Krause, Global Director of Services, Modulo Security
18. Agenda
• Processo / Metodologia
• Stakeholders
• Perfil de Risco do Fornecedor
• Contratos
• Informações e Questionarios
• Automação
• Indicadores e Monitoramento
• Conclusão
• Perguntas & Respostas
19. Pesquisa
1- Qual o Nível de Maturidade de Gestão de Riscos de Fornecedores
em sua organização?
Escolha somente 1 opção, após 1 minuto apresentaremos os resultados
(as respostas são anônimas para a audiência, somente serão apresentados os dados em %)
a) Não existente
b) Estamos desenhando a visão inicial
c) O road map e as metas já estão definidos
d) Está implementado e funcionando
e) Melhoria contínua – Benchmarking e melhores práticas
implementados
20. Pesquisa
2- Ferramentas utilizadas na Gestão de Riscos de Fornecedores em
sua organização?
Escolha somente 1 opção, após 1 minuto apresentaremos os resultados
(as respostas são anônimas para a audiência, somente serão apresentados os dados em %)
a) E-mails e Planilhas
b) Sistema desenvolvido internamente utilizado só para TI
c) Sistema desenvolvido internamente utilizado para toda a
organização
d) Software de Gestão de Riscos de Fornecedores
e) Plataforma de GRC com Gestão de Riscos de Fornecedores
23. Definição de Processo
Fonte: ISACA
• Requisitos
• Chamada para
propostas
• Avaliação
• Seleção dos
melhores
• Negociação
Preparação
• Entendimento
• Entregas
• SLAs
• Métricas
• Custos
• Base Legal
Contrato
• Transição
• Gestão das
operações
Operação
• Passagem
operacional
• Transmissão de
conhecimento
para o novo
fornecedor
Passagem
Gestão de
Mudanças em
Contratos
Figura 1 – Ciclo de Vida das Relações Contratuais
24. Source: OCED
Seleção
- Definir necessidades de
negócio
- Definir Requisitos
- Avaliar Fornecedores
Início
- Coleta inicial de dados do
fornecedor
- Verificação OFAC*
- Ranqueamento inicial de
Risco (classificação)
Gestão do Contrato
- Avaliar Clausulas
- Padronizar Termos
- Revisão dos stakeholders
- Execução do Contrato
Gestão e Monitoramento
Riscos e Conformidades
- Identificação dos riscos
- Calculo dos Riscos
- Verificação PCI / SIG Lite
- Verificação OFAC*
- Avaliação Financeira
Contínua
Gestão de Incidentes
- Gestão de problemas e
incidentes
- Canais de comunicação e
relatórios
Auditoria
- Calendário
- Atestação de Código de
Conduta
- Validação de Riscos e
Performance
Definição de Processo
25. Avaliação de Riscos: metodologia e indicadores
Fonte: ISO 31000
Comunicaçãoeconsulta(5.2)
Monitoramentoeanálisecrítica(5.6)
Estabelecimento do contexto (5.3)
Identificação dos riscos (5.4.2)
Análise dos riscos (5.4.3)
Avaliação dos riscos (5.4.3)
Tratamento dos riscos (5.5)
Processo de avaliação
de riscos (5.4)
Priorização
Risco
Probabilidade
Possibilidade
Padrões do Security Lab
Severidade
=Impacto
Padrões do Security Lab
Relevância
Negócios
Critérios de Gestão
Cálculo
Risco = Probabilidade x Severidade x Relevância
Muito Alto
Alto
Médio
Baixo
Muito Baixo
26.
27. “Amigos, lá você tem”
Outros
• Privacidade
• Seguros
Fonte: ISACA
Figura 2 – Matriz RACI Gestão de Fornecedores
Stakeholders
Ciclo de Vida da Relação Contratual
Preparação Contrato Operações Passagem
Executivos C-Level A A A A
Donos de Processos de Negócio R R I R
Compras R R I R
Jurídico R R C C
Funções de Risco C C R R
Auditoria e Conformidades C C C C
TI R R R R
Segurança R C R C
Recursos Humanos C C C C
28. Níveis Definições
I
Fornecedor Estratégico:
• Fornece produtos / serviços únicos que geram competitividade e
diferenciação
• Compartilhamento de informações estratégicas sensíveis
• Alto impacto na criação de valor para acionistas e para a marca
• Muito difícil de substituir devido a complexidade ou características únicas
II
Fornecedor Operacional:
• Fornecedores-chave, funcionalidades e níveis de serviço integrados /
customzados
• Possível impacto na marca – negative ou positivo
• Compartilhamento de informações operacionais
• Involvimento em atividades relevantes e interação diária com processos de
negócio.
• Substituição é possível – existem competidores disputando mercado
III
Commodity:
• Produtos e serviços “de prateleira”; muitas opções
• Compartilhamento de informações táticas quando necessário
• Baixo impacto na marca – negative ou positivo
• Fácil substituição – muita competição
Perfil de Risco do Fornecedor
Estratégico
Operacional
Commodity
29. Perfil de Riscos do Fornecedor
Avaliação e Monitoramento Contínuo
Níveis Definições
I
Fornecedor Estratégico:
• Ciclo Anual
• Relatórios de Conformidade com SSAE16
• Relatórios de Conformidade com PCI
• Diligencias no Fornecedor “On-Site”
II
Fornecedor Operacional:
• Ciclo Bianual
• Pode ser antecipado caso haja incidentes/ocorrências
• Relatórios de Conformidade com SSAE16
• Relatórios de Conformidade com PCI
• Questionário de auto-avaliação
III
Commodity:
• Ciclo trianual
• Pode ser antecipado caso haja incidentes/ocorrências
• Questionário de auto-avaliação
30. • Padronização de termos / linguagem
• Boas Práticas/ frameworks
• Requisitos regulatórios
• Requisitos de proteção de dados
• SLAs:
- Responsabilidade do Fornecedor
- Responsabilidade do Cliente
• Sub-contratações
• Remediação de deficiências
• Notificação de problemas
• Revisão / auditorias periódicas
Contratos
31. • Perfil – questionário interno
• Questionário de risco- enviado aos fornecedores
• Itens para o questionário
- Políticas
- Relatórios de auditorias externas (Ex: SSAE16)
- Outros
• Equipe de avaliação – centralizada?
• Verificação no local
• Análise de terceirizações:
Processos & Tecnologias
Levantamento de Informações
32. • Levante as informações dos Stakeholders
• Questionário padrão de levantamento de informações
(Standardized Information Gathering -SIG) / SIG Lite
• Questões obrigatórias
• Anexar evidências das respostas
Perguntas padronizadas
33. Fonte: SIG 2015 – Shared Assessments
Contole, contole, você precisa aprender a contolar!
34. Automação
“Tentar não. Faça... ou não. Tentar não existe."
Tempo
Recursos
Fornecedores
Identificados
Processos automatizados
aceleram a identificação e
priorização de riscos
Alocação de tempo e
recursos são otimizados
Risco
Baixo
Risco
Médio
Risco
Alto
36. Avaliar
Custo Alto
Risco Baixo
Custo Alto
Risco Alto
Custo Baixo
Risco Baixo
Custo Baixo
Risco Alto
Deve ser avaliado
com cuidado
Prioridade alta
de tratamento
Oportunidade de remediação
e redução do risco total
Oportunidade de aceitar
ou criar exceções
39. • “Conhece-te a ti mesmo”
• Crie processos
• Envolva os stakeholders do alto escalão
• Crie um contrato claro (linguagem correta)
• Crie “Perfis de Riscos”
• Faça perguntas
• Avalie as respostas e as evidências
• Automatize o máximo que conseguir
• Monitore e meça
• Aperfeiçoe e repita
Sumário
40.
41.
42. Quer mais informações?
Agende uma apresentação para sua organização
atendimento@modulo.com.br
Visite nosso site
(21) 2123-4604
Siga nossas redes sociais
www.modulo.com.br
Assista à gravação do webinar e faça o
download dos slides:
modulo.com.br/comunidade/webinar