Rolf Neubarth Dissertacao Defesa FINAL REVISADO

Recommendations

Info

76 core business da instituição, o qual é formado pelas operações de corretagem de valores. Segundo o entrevistado, de acordo com a CVM (2016), as Corretoras de Títulos e Valores Mobiliários, também conhecidas pelo acrônimo CTVM, ou as chamadas Distribuidoras de Títulos e Valores Mobiliários (DTVM), são entidades que executam operações financeiras que têm como principais atividades as intermediações de operações financeiras dentro dos mercados regulamentados de valores mobiliários, como é o caso dos mercados de bolsa de valores. Tais serviços consistem, em sua maioria, na operacionalização e execução de ordens de compra e de venda de valores mobiliários para a sociedade, incluindo atividades como disponibilização de informações de análise de investimentos, administração de carteiras de valores mobiliários (inclusive fundos de investimentos), e realização de prestação de serviços de custódia e outras (algumas dessas atividades dependem de autorizações específicas), caracterizando-se assim como uma operação que está diretamente interligada ao horário de mercado de ações e valores, não necessariamente tendo uma demanda de alta disponibilidade durante uma operação 24X7. Dentro de uma análise do constructo de risco operacional, entende-se que as plataformas de trader dispõem de softwares utilitários, integrando informações sobre fundos de investimentos, operações financeiras, mercado da Bolsa de Valores de São Paulo – BM&FBOVESPA, carteira de clientes e informações de mercado especializadas para tomada de decisão sobre compra e venda de títulos e demais informações pertinentes às operações dos traders, que ocorre via publicação destes aplicativos, utilizando sistemas de metaframe, que permitem que sistemas de informação sejam publicados via acesso online para que o usuário use o front end de uma aplicação de forma remota, exatamente como se estivesse na frente de seu computador no seu escritório, sendo acessado por meio da VPN e demais sistemas de colaboração, como o e-mail. Parte das informações imprescindíveis para recuperar as operações ficam salvas em e-mails, contendo os contatos do cliente e os contatos deste com o mercado financeiro. Assim sendo, os planos de contingência que são realizados estão focados e documentados para garantir a recuperação da plataforma de trader, especialmente a que atua em conectividade com clientes e com o mercado. Considerando as oportunidades da própria plataforma de trader, a instituição D não possui um site alternativo dedicado, como as demais instituições em análise, que fazem espelhamento de servidores, plataformas, base de dados e telecomunicações, entre outros. Apenas a infraestrutura de TI é contingenciada, por meio de um datacenter contratado, que prevê a utilização de máquinas servidoras para recuperação de dados, pela restauração de backups e de plataformas de suporte ao negócio, a partir de mídias disponíveis no site contratado e que apoiam a contingência das operações. Executando o aspecto de conectividade,
77 a instituição D possui um link de telecomunicações de velocidade de 20Mbytes de banda em tecnologia MPLS (Multiprotocol Label Switching). O espaço contratado é alugado com a mais alta disponibilidade de recursos de força elétrica, contendo até mesmo a climatização do ambiente, monitoração de perímetro e acesso ao ambiente. Conta ainda com estruturas existentes para instalação de servidores alugados para suportar a manobra tecnológica de recuperação de sistemas de informação em caso da perda do site principal de operações. A instituição D possui um processo de governança de TI com baixa maturidade, ou seja, processos de boas práticas não são necessariamente aplicados, devido ao seu universo tecnológico ser de pequeno porte, segundo informações do entrevistado. A segurança da informação fica a cargo das criptografias das plataformas de trader, que já são suficientes para garantir a confidencialidade das operações feitas em nível de software. Os sistemas críticos são contingenciados por meio de backup incremental, que é realizado diariamente, ou seja, somente a informação que é gerada no dia é copiada para as mídias de segurança e backup. Não há uma replicação dos sistemas, aplicações ou dos servidores que suportam as plataformas de negócios, sendo feita de forma sincronizada. Há backups específicos de todos os servidores que são armazenados na própria empresa. De forma incremental, existem apenas os backups das bases de dados e o processo de controle é muito inferior, se comparado com as demais instituições já relatadas aqui. A demanda por disponibilidade também é menor e limita-se ao período de funcionamento do sistema financeiro nacional, o que torna os controles operacionais muito mais enxutos, comparados às demais instituições. O plano de recuperação de desastres engloba a empresa e reflete apenas informações básicas deste tipo de ação. O plano informa o endereço da empresa contratada para recuperar o ambiente tecnológico e não reflete uma árvore de acionamento de principais pessoas-chave da empresa, e nem as empresas terceiras que suportam a operação de negócios. Também, o plano não informa entidades de comunicações externas, considerando somente a existência de uma empresa terceira para recuperação dos dados de backup realizada diariamente. O entrevistado informou que testes de recuperação de backup são realizados num nível de análise de log, para verificar a consistência do backup de dados e que, recorrentemente, é demandado a restaurar backups para fins de operações rotineiras, mas que a recuperação existente é somente em nível de dados e não em nível de plataformas ou de recuperação de ambiente, tornando difícil avaliar que, em uma situação de alto impacto operacional, sua recuperação se dará em tempo adequado para as demandas do negócio. A instituição D, do ponto de vista estatutário, é parte de uma instituição de capital estrangeiro, sendo presidida por um CLevel, em que acionistas precisam estar alinhados com processos e
Page 1 and 2:
FACULDADES METROPOLITANAS UNIDAS PR
Page 3 and 4:
ROLF HENRIQUE NEUBARTH GOVERNANÇA
Page 5 and 6:
RESUMO As instituições do sistema
Page 7 and 8:
LISTA DE TABELAS Tabela 1 - Variaç
Page 9 and 10:
LISTA DE FIGURAS Figura 1- Modelo d
Page 11 and 12:
RPO - Recovery Point Objective RTO
Page 13 and 14:
11 1 INTRODUÇÃO O fortalecimento
Page 15 and 16:
13 tecnologia robusta não é mais
Page 17 and 18:
15 A Tabela 1 traz o levantamento r
Page 19 and 20:
17 O objetivo é avaliar os planos
Page 21 and 22:
19 2 FUNDAMENTAÇÃO TEÓRICA Neste
Page 23 and 24:
21 Sendo assim, estudos acadêmicos
Page 25 and 26:
23 facilitar a implementação da g
Page 27 and 28: 25 dos acionistas, mais consolidado
Page 29 and 30: 27 indústria financeira, riscos es
Page 31 and 32: 29 A premissa inerente do COSO é q
Page 33 and 34: 31 significativamente, a sua perspe
Page 35 and 36: 33 6. Comunicar-se com todos, ou co
Page 37 and 38: 35 Já a NBR/ISO 22301 é um conjun
Page 39 and 40: 37 agregam valor na busca por maior
Page 41 and 42: 39 Informação (FREITAS, 2010). Em
Page 43 and 44: 41 especificando um escopo de todos
Page 45 and 46: 43
Page 47 and 48: 45 centrado na investigação das p
Page 49 and 50: 47 da pesquisa. Para melhor visuali
Page 51 and 52: 49 utiliza múltiplos casos, inclui
Page 53 and 54: 51 Quadro 5 - Categorização do ro
Page 55 and 56: 53 Gestão de Continuidade de Negó
Page 57 and 58: 55 1. Identificar se as empresas po
Page 59 and 60: 57 Um teste do instrumento de entre
Page 61 and 62: 59 níveis da companhia. Além diss
Page 63 and 64: 61 mudanças submetidas passassem a
Page 65 and 66: 63 identificou-se que a empresa ana
Page 67 and 68: 65 ausência de uma estrutura de re
Page 69 and 70: 67 de completa indisponibilidade do
Page 71 and 72: 69 principal de operação, validan
Page 73 and 74: 71 O modelo de governança para a c
Page 75 and 76: 73 necessária para o devido suport
Page 77: 75 arquitetura de telecomunicaçõe
Page 81 and 82: 79 também pelo mesmo motivo indica
Page 83 and 84: 81 dos dados de backup realizada di
Page 85 and 86: 83 sobre a resiliência da indústr
Page 87 and 88: 85 somente daqui a alguns anos a ef
Page 89 and 90: 87 cibernéticos do mundo, em que d
Page 91 and 92: 89 Quadro 6 - Resumo dos resultados
Page 93 and 94: 91 países da América Latina que f
Page 95 and 96: 93 quantidade de dados trafegados e
Page 97 and 98: 95 Para os aspetos intrínsecos ao
Page 99 and 100: 97 indisponibilidade em seus sites
Page 101 and 102: 99 6 CONSIDERAÇÕES FINAIS A gest
Page 103 and 104: 101 acordo com o que prevê a melho
Page 105 and 106: 103 COOPER, Donald R.; SCHINDLER, P
Page 107 and 108: 105 JORION, Philippe. (1997). Value
Page 109 and 110: 107 STULZ, R. M. An analysis of div
Page 111 and 112: 109 (GRC) com a Gestão da Continui
Page 113 and 114: 111 _______________________________
Page 115 and 116: 113 q) A organização possui uma
Page 117: 115 _______________________________
show all

Rolf Neubarth Dissertacao Defesa FINAL REVISADO

Create successful ePaper yourself

Delete template?

Save as template?