SlideShare ist ein Scribd-Unternehmen logo

Gestão de Riscos de Fornecedores: Lições aprendidas nos campos de batalha!

Modulo Security
Modulo Security

Acesse nosso site para fazer o download dos slides e assistir a gravação do webinar: http://www.modulo.com.br/comunidade/webinar Se você não passou os últimos anos em outro planeta, você e seus pares de TI devem ter notado que os riscos de sua cadeia de suprimentos tornaram-se os componentes mais relevantes e complexos de seu programa de Gestão de Riscos e Segurança da Informação. Neste webinar vamos compartilhar com você as lições que os especialistas da Módulo aprenderam nos últimos anos ao implementar programas e soluções de Gestão de Riscos de Fornecedores de TI, assim como alguns cases de clientes nos Estados Unidos que conseguiram implementar estes processos de forma integrada com seus programas de Gestão de Riscos de TI e Segurança da Informação. As experiências de profissionais que implementaram programas bem-sucedidos em organizações internacionais de diversos segmentos pode ajudar você a implementar um programa de Gestão de Riscos de Fornecedores de TI de classe mundial. • Entenda como algumas empresas que estão entre as “Fortune 50” implementaram programas bem-sucedidos de Gestão de Riscos de TI e de Fornecedores; • Conheça as lições aprendidas por nossos especialistas de gestão de Riscos de Fornecedores que trabalharam nestas implementações; • Saiba como iniciar a implementação de um programa de Gestão de Riscos de Fornecedores de classe mundial. Carlos Krause Diretor Internacional de Serviços Profissionais - Módulo Krause está na Módulo desde 1998 e como Diretor Internacional de Serviços Profissionais é responsável por todas as equipes de pré e pós venda para nossos clientes atuais e potencias na América do Norte, América Latina, Europa, Ásia e Oriente Médio. Ele é um palestrante experiente e já foi convidado a se apresentar em grandes eventos internacionais como o Gartner Security and Risk Management, ISACA ISRM, ISACA CACS, MIS Training Institute IT-GRC, além de eventos regionais da ISC2.

Technologie
1 von 43
Carlos Krause Diretor Internacional de Serviços Profissionais Módulo Assista à gravação do webinar e faça o download dos slides: modulo.com.br/comunidade/webinar
APRESENTAÇÃO INSTITUCIONAL
Empresa Softwares: Módulo Risk Manager; Módulo Command & Control Manager; Módulo Smart City Manager; Soluções para: Governança, Riscos e Conformidades de TI; Riscos Corporativos; Infraestrutura Crítica; Smart Cities; Defesa; Segurança Pública. BRASIL Rio de Janeiro São Paulo Brasília Belo Horizonte (Aéras) EUA Atlanta EUROPA Londres ÍNDIA Mumbai Fundação 1985 450 funcionários Grupo Módulo: Aéras Bridge Consulting Thrust RustCon
Clientes BRASIL ANP - Agência Nacional de Petróleo BNDES Caixa Econômica Federal CDCIBER Defesa Civil - CENAD Eletronuclear FMC Technologies Ipiranga Itaú Lojas Americanas ÁFRICA BPC - Banco de Poupança e Crédito, S.A.R.L SISP - Sociedade Interbancária de Sistema de Pagamentos Sonangol - Angola Troy - Angola ÁSIA / ORIENTE MÉDIO Abu Dhabi Urban Development & Planning - Paladion Commercial Bank of Dubai (CBC) Etihad Airways - Paladion Gulf Bank VFS Global EUROPA AIB - Allied Irish Bank Cesce - Portuguese Tax Authority CGD - Caixa Geral de Depositos EDP - Energias de Portugal Global Seguros IGFCSS - Instituto de Gestão de Fundos de Capitalização da Segurança Social Microland Ltd SagePay Sumitomo Mitsui Banking Corporation Unisys EUA / CANADÁ ARC BC Hydroelectric Dell FMC Technologies General Dynamics Land Systems Goodyear Tire & Rubber Co. IBM Johnson & Johnson, Inc. Procter & Gamble Company Sumitomo Mitsui Banking Corporation The College Board The Hershey Company Volkswagen Group VioPoint, Inc. Worldpay US, Inc. AMÉRICA LATINA Banco Central do Peru Banco de la Nación Banco del Chaco Banco Financiero del Perú Banobras Cfmexico Ecopetrol HSBC Presidencia Peru Santander Rio Magazine Luiza Petrobras Prefeitura Municipal do Rio de Janeiro SABESP SESGE / Ministério da Justiça Technip TAM TIM VISA - Cielo S.A VIVO
Empresas Módulo
Empresa do grupo Módulo que atende os mercados de Minas Gerais e Espirito Santo. Nasce do Know How da Módulo e conta com uma equipe técnica especializada na implementação, customização e treinamento do Software Módulo Risk Manager. A equipe de consultoria da Aeras utiliza a Metodologia GRC Metaframework, desenvolvida pela Módulo para apoiar sua organização na criação e melhoria de processos de Governança, Riscos e Conformidades
Uma empresa de Consultoria e Capacitação profissional focada em soluções para desafios de tecnologia da informação e processos de negócio com um único fim – melhorar o desempenho das empresas. Formada por uma equipe de consultores de alto desempenho, com experiencia em projetos de alta complexidade, em organizações públicas e privadas. • Gestão de Processos • Desempenho Empresarial • Estratégia Business Consulting • Certificações ITIL e COBIT • Cursos in Company • Ensino a Distância TrainningIT Consulting • Governança de TI • Gestão de Serviços de TI • Engenharia de Software • Consultoria ITIL e Cobit
Startup incubada no Instituto Genesis, da PUC Rio de Janeiro, especializada em desenvolvimento de soluções móveis para comunicação inteligente. ZAPR ZAPR Solução corporativa para comunicação segura e colaborativa.
Prêmios, Certificações e Reconhecimentos Qualified Security Assessor Desenvolvimento e inovação tecnológica no Brasil 2014 2011 2010 2008 2006 Módulo Risk Manager avaliado pelos mais importantes institutos de pesquisa e analistas de TI do mundo como uma das melhores soluções do mercado 2011 2012 2014 2012 2013 2014 Principal publicação do setor nos EUA 2011 2012 2013 2014
Certificações 1º software a receber a Certics A CERTICS foi criada para comprovar se um software é resultado de desenvolvimento e inovação tecnológica no País. Ao identificar esses softwares, que geram desenvolvimento, competências, autonomia tecnológica, capacidade inovativa e negócios baseados em conhecimento no País, a CERTICS potencializará o desenvolvimento do mercado brasileiro de TI.
Modelo de Consultoria Módulo Metodologia alinhada às melhores práticas do PMBOK e em conformidade com normas internacionais para Segurança da Informação e Gestão de Riscos.
Visão 360º dos Riscos e Vulnerabilidades da sua organização Automatiza os processos de inventário, avaliação, análise e o tratamento e monitoramento dos Riscos físicos e cibernéticos, generncia a Conformidade com normas e políticas, e Integra sistemas legados de todas as disciplinas, permite uma visão holística da segurança e através de relatórios e dashbords integrados aprimora a Governança.
Automação GRC Caos Ordem Processos e visões desorganizados e não integrados Processos e visões organizados e integrados Automação
Carlos Krause Diretor Internacional de Serviços Profissionais Módulo Krause está na Módulo desde 1998 e como Diretor Internacional de Serviços Profissionais é responsável por todas as equipes de pré e pós venda para nossos clientes atuais e potencias na América do Norte, América Latina, Europa, Ásia e Oriente Médio. Ele é um palestrante experiente e já foi convidado a se apresentar em grandes eventos internacionais como o Gartner Security and Risk Management, ISACA ISRM, ISACA CACS, MIS Training Institute IT-GRC, além de eventos regionais da ISC2.
Rich Licato, CISO, Airlines Reporting Corporation Carlos Krause, Global Director of Services, Modulo Security
Agenda • Processo / Metodologia • Stakeholders • Perfil de Risco do Fornecedor • Contratos • Informações e Questionarios • Automação • Indicadores e Monitoramento • Conclusão • Perguntas & Respostas
Pesquisa 1- Qual o Nível de Maturidade de Gestão de Riscos de Fornecedores em sua organização? Escolha somente 1 opção, após 1 minuto apresentaremos os resultados (as respostas são anônimas para a audiência, somente serão apresentados os dados em %) a) Não existente b) Estamos desenhando a visão inicial c) O road map e as metas já estão definidos d) Está implementado e funcionando e) Melhoria contínua – Benchmarking e melhores práticas implementados
Pesquisa 2- Ferramentas utilizadas na Gestão de Riscos de Fornecedores em sua organização? Escolha somente 1 opção, após 1 minuto apresentaremos os resultados (as respostas são anônimas para a audiência, somente serão apresentados os dados em %) a) E-mails e Planilhas b) Sistema desenvolvido internamente utilizado só para TI c) Sistema desenvolvido internamente utilizado para toda a organização d) Software de Gestão de Riscos de Fornecedores e) Plataforma de GRC com Gestão de Riscos de Fornecedores
Guia
Definição de Processo Fonte: ISACA • Requisitos • Chamada para propostas • Avaliação • Seleção dos melhores • Negociação Preparação • Entendimento • Entregas • SLAs • Métricas • Custos • Base Legal Contrato • Transição • Gestão das operações Operação • Passagem operacional • Transmissão de conhecimento para o novo fornecedor Passagem Gestão de Mudanças em Contratos Figura 1 – Ciclo de Vida das Relações Contratuais
Source: OCED Seleção - Definir necessidades de negócio - Definir Requisitos - Avaliar Fornecedores Início - Coleta inicial de dados do fornecedor - Verificação OFAC* - Ranqueamento inicial de Risco (classificação) Gestão do Contrato - Avaliar Clausulas - Padronizar Termos - Revisão dos stakeholders - Execução do Contrato Gestão e Monitoramento Riscos e Conformidades - Identificação dos riscos - Calculo dos Riscos - Verificação PCI / SIG Lite - Verificação OFAC* - Avaliação Financeira Contínua Gestão de Incidentes - Gestão de problemas e incidentes - Canais de comunicação e relatórios Auditoria - Calendário - Atestação de Código de Conduta - Validação de Riscos e Performance Definição de Processo
Avaliação de Riscos: metodologia e indicadores Fonte: ISO 31000 Comunicaçãoeconsulta(5.2) Monitoramentoeanálisecrítica(5.6) Estabelecimento do contexto (5.3) Identificação dos riscos (5.4.2) Análise dos riscos (5.4.3) Avaliação dos riscos (5.4.3) Tratamento dos riscos (5.5) Processo de avaliação de riscos (5.4) Priorização Risco Probabilidade Possibilidade Padrões do Security Lab Severidade =Impacto Padrões do Security Lab Relevância Negócios Critérios de Gestão Cálculo Risco = Probabilidade x Severidade x Relevância Muito Alto Alto Médio Baixo Muito Baixo
“Amigos, lá você tem” Outros • Privacidade • Seguros Fonte: ISACA Figura 2 – Matriz RACI Gestão de Fornecedores Stakeholders Ciclo de Vida da Relação Contratual Preparação Contrato Operações Passagem Executivos C-Level A A A A Donos de Processos de Negócio R R I R Compras R R I R Jurídico R R C C Funções de Risco C C R R Auditoria e Conformidades C C C C TI R R R R Segurança R C R C Recursos Humanos C C C C
Níveis Definições I Fornecedor Estratégico: • Fornece produtos / serviços únicos que geram competitividade e diferenciação • Compartilhamento de informações estratégicas sensíveis • Alto impacto na criação de valor para acionistas e para a marca • Muito difícil de substituir devido a complexidade ou características únicas II Fornecedor Operacional: • Fornecedores-chave, funcionalidades e níveis de serviço integrados / customzados • Possível impacto na marca – negative ou positivo • Compartilhamento de informações operacionais • Involvimento em atividades relevantes e interação diária com processos de negócio. • Substituição é possível – existem competidores disputando mercado III Commodity: • Produtos e serviços “de prateleira”; muitas opções • Compartilhamento de informações táticas quando necessário • Baixo impacto na marca – negative ou positivo • Fácil substituição – muita competição Perfil de Risco do Fornecedor Estratégico Operacional Commodity
Perfil de Riscos do Fornecedor Avaliação e Monitoramento Contínuo Níveis Definições I Fornecedor Estratégico: • Ciclo Anual • Relatórios de Conformidade com SSAE16 • Relatórios de Conformidade com PCI • Diligencias no Fornecedor “On-Site” II Fornecedor Operacional: • Ciclo Bianual • Pode ser antecipado caso haja incidentes/ocorrências • Relatórios de Conformidade com SSAE16 • Relatórios de Conformidade com PCI • Questionário de auto-avaliação III Commodity: • Ciclo trianual • Pode ser antecipado caso haja incidentes/ocorrências • Questionário de auto-avaliação
• Padronização de termos / linguagem • Boas Práticas/ frameworks • Requisitos regulatórios • Requisitos de proteção de dados • SLAs: - Responsabilidade do Fornecedor - Responsabilidade do Cliente • Sub-contratações • Remediação de deficiências • Notificação de problemas • Revisão / auditorias periódicas Contratos
• Perfil – questionário interno • Questionário de risco- enviado aos fornecedores • Itens para o questionário - Políticas - Relatórios de auditorias externas (Ex: SSAE16) - Outros • Equipe de avaliação – centralizada? • Verificação no local • Análise de terceirizações: Processos & Tecnologias Levantamento de Informações
• Levante as informações dos Stakeholders • Questionário padrão de levantamento de informações (Standardized Information Gathering -SIG) / SIG Lite • Questões obrigatórias • Anexar evidências das respostas Perguntas padronizadas
Fonte: SIG 2015 – Shared Assessments Contole, contole, você precisa aprender a contolar!
Automação “Tentar não. Faça... ou não. Tentar não existe." Tempo Recursos Fornecedores Identificados Processos automatizados aceleram a identificação e priorização de riscos Alocação de tempo e recursos são otimizados Risco Baixo Risco Médio Risco Alto
Análisar
Avaliar Custo Alto Risco Baixo Custo Alto Risco Alto Custo Baixo Risco Baixo Custo Baixo Risco Alto Deve ser avaliado com cuidado Prioridade alta de tratamento Oportunidade de remediação e redução do risco total Oportunidade de aceitar ou criar exceções
Métricas e Monitoramento das ações
Visão sistêmica de Fornecedores
• “Conhece-te a ti mesmo” • Crie processos • Envolva os stakeholders do alto escalão • Crie um contrato claro (linguagem correta) • Crie “Perfis de Riscos” • Faça perguntas • Avalie as respostas e as evidências • Automatize o máximo que conseguir • Monitore e meça • Aperfeiçoe e repita Sumário
Quer mais informações? Agende uma apresentação para sua organização atendimento@modulo.com.br Visite nosso site (21) 2123-4604 Siga nossas redes sociais www.modulo.com.br Assista à gravação do webinar e faça o download dos slides: modulo.com.br/comunidade/webinar
Obrigado! Assista à gravação do webinar e faça o download dos slides: modulo.com.br/comunidade/webinar

Empfohlen

Sistema de Gestão de Risco - Implantação
Sistema de Gestão de Risco - ImplantaçãoSistema de Gestão de Risco - Implantação
Sistema de Gestão de Risco - ImplantaçãoAndré Santos
 
Supplier Risk Assessment
Supplier Risk AssessmentSupplier Risk Assessment
Supplier Risk AssessmentGary Bahadur
 
Produção - Fornecedores
Produção - FornecedoresProdução - Fornecedores
Produção - FornecedoresDoisnovemeia Publicidade
 
Desenvolvimento de fornecedores tiago lemos
Desenvolvimento de fornecedores tiago lemosDesenvolvimento de fornecedores tiago lemos
Desenvolvimento de fornecedores tiago lemoscomitesestrategicospoa
 
Cad fornecedores
Cad fornecedoresCad fornecedores
Cad fornecedoresemiliogsn
 
Know your suppliers? How can you manage supplier risk?
Know your suppliers? How can you manage supplier risk?Know your suppliers? How can you manage supplier risk?
Know your suppliers? How can you manage supplier risk?Bureau van Dijk
 
Seleção, Avaliação e Qualificação de Fornecedores
Seleção, Avaliação e Qualificação de Fornecedores Seleção, Avaliação e Qualificação de Fornecedores
Seleção, Avaliação e Qualificação de Fornecedores Eduardo Isatto
 
Gestão de Fornecedores
Gestão de FornecedoresGestão de Fornecedores
Gestão de FornecedoresTemplum Consultoria Online
 

Empfohlen

Sistema de Gestão de Risco - Implantação
Sistema de Gestão de Risco - ImplantaçãoSistema de Gestão de Risco - Implantação
Sistema de Gestão de Risco - ImplantaçãoAndré Santos
 
Supplier Risk Assessment
Supplier Risk AssessmentSupplier Risk Assessment
Supplier Risk AssessmentGary Bahadur
 
Produção - Fornecedores
Produção - FornecedoresProdução - Fornecedores
Produção - FornecedoresDoisnovemeia Publicidade
 
Desenvolvimento de fornecedores tiago lemos
Desenvolvimento de fornecedores tiago lemosDesenvolvimento de fornecedores tiago lemos
Desenvolvimento de fornecedores tiago lemoscomitesestrategicospoa
 
Cad fornecedores
Cad fornecedoresCad fornecedores
Cad fornecedoresemiliogsn
 
Know your suppliers? How can you manage supplier risk?
Know your suppliers? How can you manage supplier risk?Know your suppliers? How can you manage supplier risk?
Know your suppliers? How can you manage supplier risk?Bureau van Dijk
 
Seleção, Avaliação e Qualificação de Fornecedores
Seleção, Avaliação e Qualificação de Fornecedores Seleção, Avaliação e Qualificação de Fornecedores
Seleção, Avaliação e Qualificação de Fornecedores Eduardo Isatto
 
Gestão de Fornecedores
Gestão de FornecedoresGestão de Fornecedores
Gestão de FornecedoresTemplum Consultoria Online
 
2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by HubspotMarius Sescu
 
Everything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPTEverything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPTExpeed Software
 
Product Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage EngineeringsProduct Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage EngineeringsPixeldarts
 
How Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental HealthHow Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental HealthThinkNow
 
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdfAI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdfmarketingartwork
 
Skeleton Culture Code
Skeleton Culture CodeSkeleton Culture Code
Skeleton Culture CodeSkeleton Technologies
 
PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024Neil Kimberley
 
Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)contently
 
How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024Albert Qian
 
Social Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsSocial Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsKurio // The Social Media Age(ncy)
 
Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Search Engine Journal
 
5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summarySpeakerHub
 
ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd Clark Boyd
 
Getting into the tech field. what next
Getting into the tech field. what next Getting into the tech field. what next
Getting into the tech field. what next Tessa Mero
 
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search IntentGoogle's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search IntentLily Ray
 
How to have difficult conversations
How to have difficult conversations How to have difficult conversations
How to have difficult conversations Rajiv Jayarajah, MAppComm, ACC
 
Introduction to Data Science
Introduction to Data ScienceIntroduction to Data Science
Introduction to Data ScienceChristy Abraham Joy
 
Time Management & Productivity - Best Practices
Time Management & Productivity - Best PracticesTime Management & Productivity - Best Practices
Time Management & Productivity - Best PracticesVit Horky
 
The six step guide to practical project management
The six step guide to practical project managementThe six step guide to practical project management
The six step guide to practical project managementMindGenius
 
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...RachelPearson36
 

Weitere ähnliche Inhalte

Empfohlen

2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by HubspotMarius Sescu
 
Everything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPTEverything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPTExpeed Software
 
Product Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage EngineeringsProduct Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage EngineeringsPixeldarts
 
How Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental HealthHow Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental HealthThinkNow
 
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdfAI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdfmarketingartwork
 
PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024Neil Kimberley
 
Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)contently
 
How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024Albert Qian
 
Social Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsSocial Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsKurio // The Social Media Age(ncy)
 
Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Search Engine Journal
 
5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summarySpeakerHub
 
ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd Clark Boyd
 
Getting into the tech field. what next
Getting into the tech field. what next Getting into the tech field. what next
Getting into the tech field. what next Tessa Mero
 
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search IntentGoogle's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search IntentLily Ray
 
Time Management & Productivity - Best Practices
Time Management & Productivity - Best PracticesTime Management & Productivity - Best Practices
Time Management & Productivity - Best PracticesVit Horky
 
The six step guide to practical project management
The six step guide to practical project managementThe six step guide to practical project management
The six step guide to practical project managementMindGenius
 
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...RachelPearson36
 

Empfohlen (20)

2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot
 
Everything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPTEverything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPT
 
Product Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage EngineeringsProduct Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage Engineerings
 
How Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental HealthHow Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental Health
 
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdfAI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
 
Skeleton Culture Code
Skeleton Culture CodeSkeleton Culture Code
Skeleton Culture Code
 
PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024
 
Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)
 
How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024
 
Social Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsSocial Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie Insights
 
Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024
 
5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary
 
ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd
 
Getting into the tech field. what next
Getting into the tech field. what next Getting into the tech field. what next
Getting into the tech field. what next
 
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search IntentGoogle's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search Intent
 
How to have difficult conversations
How to have difficult conversations How to have difficult conversations
How to have difficult conversations
 
Introduction to Data Science
Introduction to Data ScienceIntroduction to Data Science
Introduction to Data Science
 
Time Management & Productivity - Best Practices
Time Management & Productivity - Best PracticesTime Management & Productivity - Best Practices
Time Management & Productivity - Best Practices
 
The six step guide to practical project management
The six step guide to practical project managementThe six step guide to practical project management
The six step guide to practical project management
 
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
 

Gestão de Riscos de Fornecedores: Lições aprendidas nos campos de batalha!

  • 1. Carlos Krause Diretor Internacional de Serviços Profissionais Módulo Assista à gravação do webinar e faça o download dos slides: modulo.com.br/comunidade/webinar
  • 2.
  • 4. Empresa Softwares: Módulo Risk Manager; Módulo Command & Control Manager; Módulo Smart City Manager; Soluções para: Governança, Riscos e Conformidades de TI; Riscos Corporativos; Infraestrutura Crítica; Smart Cities; Defesa; Segurança Pública. BRASIL Rio de Janeiro São Paulo Brasília Belo Horizonte (Aéras) EUA Atlanta EUROPA Londres ÍNDIA Mumbai Fundação 1985 450 funcionários Grupo Módulo: Aéras Bridge Consulting Thrust RustCon
  • 5. Clientes BRASIL ANP - Agência Nacional de Petróleo BNDES Caixa Econômica Federal CDCIBER Defesa Civil - CENAD Eletronuclear FMC Technologies Ipiranga Itaú Lojas Americanas ÁFRICA BPC - Banco de Poupança e Crédito, S.A.R.L SISP - Sociedade Interbancária de Sistema de Pagamentos Sonangol - Angola Troy - Angola ÁSIA / ORIENTE MÉDIO Abu Dhabi Urban Development & Planning - Paladion Commercial Bank of Dubai (CBC) Etihad Airways - Paladion Gulf Bank VFS Global EUROPA AIB - Allied Irish Bank Cesce - Portuguese Tax Authority CGD - Caixa Geral de Depositos EDP - Energias de Portugal Global Seguros IGFCSS - Instituto de Gestão de Fundos de Capitalização da Segurança Social Microland Ltd SagePay Sumitomo Mitsui Banking Corporation Unisys EUA / CANADÁ ARC BC Hydroelectric Dell FMC Technologies General Dynamics Land Systems Goodyear Tire & Rubber Co. IBM Johnson & Johnson, Inc. Procter & Gamble Company Sumitomo Mitsui Banking Corporation The College Board The Hershey Company Volkswagen Group VioPoint, Inc. Worldpay US, Inc. AMÉRICA LATINA Banco Central do Peru Banco de la Nación Banco del Chaco Banco Financiero del Perú Banobras Cfmexico Ecopetrol HSBC Presidencia Peru Santander Rio Magazine Luiza Petrobras Prefeitura Municipal do Rio de Janeiro SABESP SESGE / Ministério da Justiça Technip TAM TIM VISA - Cielo S.A VIVO
  • 7. Empresa do grupo Módulo que atende os mercados de Minas Gerais e Espirito Santo. Nasce do Know How da Módulo e conta com uma equipe técnica especializada na implementação, customização e treinamento do Software Módulo Risk Manager. A equipe de consultoria da Aeras utiliza a Metodologia GRC Metaframework, desenvolvida pela Módulo para apoiar sua organização na criação e melhoria de processos de Governança, Riscos e Conformidades
  • 8. Uma empresa de Consultoria e Capacitação profissional focada em soluções para desafios de tecnologia da informação e processos de negócio com um único fim – melhorar o desempenho das empresas. Formada por uma equipe de consultores de alto desempenho, com experiencia em projetos de alta complexidade, em organizações públicas e privadas. • Gestão de Processos • Desempenho Empresarial • Estratégia Business Consulting • Certificações ITIL e COBIT • Cursos in Company • Ensino a Distância TrainningIT Consulting • Governança de TI • Gestão de Serviços de TI • Engenharia de Software • Consultoria ITIL e Cobit
  • 9. Startup incubada no Instituto Genesis, da PUC Rio de Janeiro, especializada em desenvolvimento de soluções móveis para comunicação inteligente. ZAPR ZAPR Solução corporativa para comunicação segura e colaborativa.
  • 10. Prêmios, Certificações e Reconhecimentos Qualified Security Assessor Desenvolvimento e inovação tecnológica no Brasil 2014 2011 2010 2008 2006 Módulo Risk Manager avaliado pelos mais importantes institutos de pesquisa e analistas de TI do mundo como uma das melhores soluções do mercado 2011 2012 2014 2012 2013 2014 Principal publicação do setor nos EUA 2011 2012 2013 2014
  • 11. Certificações 1º software a receber a Certics A CERTICS foi criada para comprovar se um software é resultado de desenvolvimento e inovação tecnológica no País. Ao identificar esses softwares, que geram desenvolvimento, competências, autonomia tecnológica, capacidade inovativa e negócios baseados em conhecimento no País, a CERTICS potencializará o desenvolvimento do mercado brasileiro de TI.
  • 12. Modelo de Consultoria Módulo Metodologia alinhada às melhores práticas do PMBOK e em conformidade com normas internacionais para Segurança da Informação e Gestão de Riscos.
  • 13. Visão 360º dos Riscos e Vulnerabilidades da sua organização Automatiza os processos de inventário, avaliação, análise e o tratamento e monitoramento dos Riscos físicos e cibernéticos, generncia a Conformidade com normas e políticas, e Integra sistemas legados de todas as disciplinas, permite uma visão holística da segurança e através de relatórios e dashbords integrados aprimora a Governança.
  • 14. Automação GRC Caos Ordem Processos e visões desorganizados e não integrados Processos e visões organizados e integrados Automação
  • 15.
  • 16. Carlos Krause Diretor Internacional de Serviços Profissionais Módulo Krause está na Módulo desde 1998 e como Diretor Internacional de Serviços Profissionais é responsável por todas as equipes de pré e pós venda para nossos clientes atuais e potencias na América do Norte, América Latina, Europa, Ásia e Oriente Médio. Ele é um palestrante experiente e já foi convidado a se apresentar em grandes eventos internacionais como o Gartner Security and Risk Management, ISACA ISRM, ISACA CACS, MIS Training Institute IT-GRC, além de eventos regionais da ISC2.
  • 17. Rich Licato, CISO, Airlines Reporting Corporation Carlos Krause, Global Director of Services, Modulo Security
  • 18. Agenda • Processo / Metodologia • Stakeholders • Perfil de Risco do Fornecedor • Contratos • Informações e Questionarios • Automação • Indicadores e Monitoramento • Conclusão • Perguntas & Respostas
  • 19. Pesquisa 1- Qual o Nível de Maturidade de Gestão de Riscos de Fornecedores em sua organização? Escolha somente 1 opção, após 1 minuto apresentaremos os resultados (as respostas são anônimas para a audiência, somente serão apresentados os dados em %) a) Não existente b) Estamos desenhando a visão inicial c) O road map e as metas já estão definidos d) Está implementado e funcionando e) Melhoria contínua – Benchmarking e melhores práticas implementados
  • 20. Pesquisa 2- Ferramentas utilizadas na Gestão de Riscos de Fornecedores em sua organização? Escolha somente 1 opção, após 1 minuto apresentaremos os resultados (as respostas são anônimas para a audiência, somente serão apresentados os dados em %) a) E-mails e Planilhas b) Sistema desenvolvido internamente utilizado só para TI c) Sistema desenvolvido internamente utilizado para toda a organização d) Software de Gestão de Riscos de Fornecedores e) Plataforma de GRC com Gestão de Riscos de Fornecedores
  • 21.
  • 22. Guia
  • 23. Definição de Processo Fonte: ISACA • Requisitos • Chamada para propostas • Avaliação • Seleção dos melhores • Negociação Preparação • Entendimento • Entregas • SLAs • Métricas • Custos • Base Legal Contrato • Transição • Gestão das operações Operação • Passagem operacional • Transmissão de conhecimento para o novo fornecedor Passagem Gestão de Mudanças em Contratos Figura 1 – Ciclo de Vida das Relações Contratuais
  • 24. Source: OCED Seleção - Definir necessidades de negócio - Definir Requisitos - Avaliar Fornecedores Início - Coleta inicial de dados do fornecedor - Verificação OFAC* - Ranqueamento inicial de Risco (classificação) Gestão do Contrato - Avaliar Clausulas - Padronizar Termos - Revisão dos stakeholders - Execução do Contrato Gestão e Monitoramento Riscos e Conformidades - Identificação dos riscos - Calculo dos Riscos - Verificação PCI / SIG Lite - Verificação OFAC* - Avaliação Financeira Contínua Gestão de Incidentes - Gestão de problemas e incidentes - Canais de comunicação e relatórios Auditoria - Calendário - Atestação de Código de Conduta - Validação de Riscos e Performance Definição de Processo
  • 25. Avaliação de Riscos: metodologia e indicadores Fonte: ISO 31000 Comunicaçãoeconsulta(5.2) Monitoramentoeanálisecrítica(5.6) Estabelecimento do contexto (5.3) Identificação dos riscos (5.4.2) Análise dos riscos (5.4.3) Avaliação dos riscos (5.4.3) Tratamento dos riscos (5.5) Processo de avaliação de riscos (5.4) Priorização Risco Probabilidade Possibilidade Padrões do Security Lab Severidade =Impacto Padrões do Security Lab Relevância Negócios Critérios de Gestão Cálculo Risco = Probabilidade x Severidade x Relevância Muito Alto Alto Médio Baixo Muito Baixo
  • 26.
  • 27. “Amigos, lá você tem” Outros • Privacidade • Seguros Fonte: ISACA Figura 2 – Matriz RACI Gestão de Fornecedores Stakeholders Ciclo de Vida da Relação Contratual Preparação Contrato Operações Passagem Executivos C-Level A A A A Donos de Processos de Negócio R R I R Compras R R I R Jurídico R R C C Funções de Risco C C R R Auditoria e Conformidades C C C C TI R R R R Segurança R C R C Recursos Humanos C C C C
  • 28. Níveis Definições I Fornecedor Estratégico: • Fornece produtos / serviços únicos que geram competitividade e diferenciação • Compartilhamento de informações estratégicas sensíveis • Alto impacto na criação de valor para acionistas e para a marca • Muito difícil de substituir devido a complexidade ou características únicas II Fornecedor Operacional: • Fornecedores-chave, funcionalidades e níveis de serviço integrados / customzados • Possível impacto na marca – negative ou positivo • Compartilhamento de informações operacionais • Involvimento em atividades relevantes e interação diária com processos de negócio. • Substituição é possível – existem competidores disputando mercado III Commodity: • Produtos e serviços “de prateleira”; muitas opções • Compartilhamento de informações táticas quando necessário • Baixo impacto na marca – negative ou positivo • Fácil substituição – muita competição Perfil de Risco do Fornecedor Estratégico Operacional Commodity
  • 29. Perfil de Riscos do Fornecedor Avaliação e Monitoramento Contínuo Níveis Definições I Fornecedor Estratégico: • Ciclo Anual • Relatórios de Conformidade com SSAE16 • Relatórios de Conformidade com PCI • Diligencias no Fornecedor “On-Site” II Fornecedor Operacional: • Ciclo Bianual • Pode ser antecipado caso haja incidentes/ocorrências • Relatórios de Conformidade com SSAE16 • Relatórios de Conformidade com PCI • Questionário de auto-avaliação III Commodity: • Ciclo trianual • Pode ser antecipado caso haja incidentes/ocorrências • Questionário de auto-avaliação
  • 30. • Padronização de termos / linguagem • Boas Práticas/ frameworks • Requisitos regulatórios • Requisitos de proteção de dados • SLAs: - Responsabilidade do Fornecedor - Responsabilidade do Cliente • Sub-contratações • Remediação de deficiências • Notificação de problemas • Revisão / auditorias periódicas Contratos
  • 31. • Perfil – questionário interno • Questionário de risco- enviado aos fornecedores • Itens para o questionário - Políticas - Relatórios de auditorias externas (Ex: SSAE16) - Outros • Equipe de avaliação – centralizada? • Verificação no local • Análise de terceirizações: Processos & Tecnologias Levantamento de Informações
  • 32. • Levante as informações dos Stakeholders • Questionário padrão de levantamento de informações (Standardized Information Gathering -SIG) / SIG Lite • Questões obrigatórias • Anexar evidências das respostas Perguntas padronizadas
  • 33. Fonte: SIG 2015 – Shared Assessments Contole, contole, você precisa aprender a contolar!
  • 34. Automação “Tentar não. Faça... ou não. Tentar não existe." Tempo Recursos Fornecedores Identificados Processos automatizados aceleram a identificação e priorização de riscos Alocação de tempo e recursos são otimizados Risco Baixo Risco Médio Risco Alto
  • 36. Avaliar Custo Alto Risco Baixo Custo Alto Risco Alto Custo Baixo Risco Baixo Custo Baixo Risco Alto Deve ser avaliado com cuidado Prioridade alta de tratamento Oportunidade de remediação e redução do risco total Oportunidade de aceitar ou criar exceções
  • 39. • “Conhece-te a ti mesmo” • Crie processos • Envolva os stakeholders do alto escalão • Crie um contrato claro (linguagem correta) • Crie “Perfis de Riscos” • Faça perguntas • Avalie as respostas e as evidências • Automatize o máximo que conseguir • Monitore e meça • Aperfeiçoe e repita Sumário
  • 40.
  • 41.
  • 42. Quer mais informações? Agende uma apresentação para sua organização atendimento@modulo.com.br Visite nosso site (21) 2123-4604 Siga nossas redes sociais www.modulo.com.br Assista à gravação do webinar e faça o download dos slides: modulo.com.br/comunidade/webinar
  • 43. Obrigado! Assista à gravação do webinar e faça o download dos slides: modulo.com.br/comunidade/webinar