Rolf Neubarth Dissertacao Defesa FINAL REVISADO

Recommendations

Info

78 controles de compliance mais rígidos do que os que estão atualmente implementados e que exigem mais que o processo de implementação desses controles adicionais. Atualmente, tais processos são vistos como uma estratégia de investimento, no sentido de tornar a empresa mais controlada e com um nível de maturidade maior. Entretanto, isso não significa que práticas operacionais, como uma gestão de mudança ou mapeamento de entidades externas, sejam vistas de forma a agregar algo à operação. Dentro de uma análise de risco operacional e gestão de continuidade de negócios, não há boas práticas de frameworks, como o ITIL, por exemplo, ou em nenhum nível de atuação da empresa, denotando-se a não existência de uma gestão de mudança ou o mapeamento de fornecedores críticos que estejam refletidos em um plano de recuperação. Há sim a gestão de fornecedores e contratos, mas somente em um nível jurídico. O entrevistado disponibilizou, para vistas durante a investigação, documentos considerados como dados secundários, que evidenciam que há um plano de recuperação de desastres sendo confeccionado e com informações consideradas críticas para executá-lo. Há ainda a evidência de que haverá a aprovação deste plano, mas não há evidências ou informações sobre um teste sendo realizado, de forma integral, com áreas de negócio em acordo com a ISO 22301. 4.5 Instituição E A instituição E apresenta um porte médio, em termos de plataformas tecnológicas entre as demais unidades casos investigadas. A empresa possui unidades no Rio de Janeiro, São Paulo e Minas Gerais, mas seu principal ponto de operações concentra-se em são Paulo. A empresa possui 330 funcionários distribuídos nesses escritórios. O Diretor de Operações e Tecnologia se dispôs a receber o entrevistador presencialmente. Com relação à governança corporativa, a instituição E possui políticas e processos que se desdobram para controles, que podem ser considerados indícios de uma governança corporativa bem estruturada. O entrevistado representa a diretoria de operações da empresa. Esse profissional não é certificado em GCN ou InfoSec, mas possui especialização nas áreas de risco operacional e gerência de projetos. Seu conhecimento é focado em negócios, operações e tecnologia da informação, no que tange à corretagem de seguros e a outras áreas de operações que envolvem governança crítica as suas operações. Tais funções encontram-se acumuladas em sua gestão como risco operacional, compliance, segurança da informação e aspectos regulatórios. A instituição E não possui profissionais dedicados à disciplina de gestão de continuidade de negócios ou governança de risco operacional, como se observou também na instituição D,
79 também pelo mesmo motivo indicado, pois sua operação não comporta essa demanda, devido à natureza de suas operações. Ainda dentro de uma análise do construto de governança corporativa e risco operacional, entende-se que o formato de trabalho exibe a atuação de um auditor interno da mesma empresa e, por ser uma empresa de capital estrangeiro, auditores de sua matriz, que fica na América Latina, exercem um forte controle em seus processos de compliance, garantindo uma aderência da operação da franquia brasileira às regulamentações locais. Esse formato visa atender às disciplinas necessárias para operacionalização do negócio, incluindo a gestão de risco operacional e as entregas de informações dos órgãos reguladores como a SUSEP (Superintendência Seguros Privados). Dentro do escopo de atuação da empresa, é preciso considerar que um corretor de seguros atua como um profissional do ramo securitário tanto como profissionais autônomos, pessoa física, quanto como pessoa jurídica, dentro do universo de produtos de uma corretora de seguros. O papel de uma empresa do ramo de corretagem de seguros é, principalmente, analisar custos e benefícios relacionados à situação de um cliente segurado, prospectando vendas na indicação de produtos de seguro. É importante mencionar esse aspecto da sua natureza para esta investigação, pois esta é uma unidade caso em que se deve levar em consideração o aspecto de demanda de missão crítica, associada a sua natureza de negócios, pois empresas de corretagem não estão fortemente demandadas a uma alta disponibilidade de suas plataformas tecnológicas ou de suas operações. Devido a esse aspecto, tais serviços mencionados consistem, em sua maioria, na operacionalização e execução de ordens de venda de seguros, incluindo também atividades como disponibilização de informações de produtos do ramo securitário, administração de carteiras de segurados, caracterizando-se como uma operação que não está diretamente interligada ao horário de mercado de ações e valores e não necessariamente tendo uma demanda de alta disponibilidade durante uma operação 24X7, tipo de operação que funciona 24 horas do dia em sete dias na semana. Com relação à tecnologia da informação, risco operacional e continuidade de negócios, a instituição E possui um site alternativo, contratado de um provedor de datacenter, assim como as instituições A, B e C, e ainda possui posições de contingência para as áreas de negócio com um total de quarenta posições de trabalho disponíveis em caso de necessidade de acionamento em uma situação de contingência. No entanto, a instituição E faz espelhamento de dados de forma síncrona para dados incrementais, mas não para servidores e aplicações críticas. Assim como na instituição D, o espaço contratado possui alta disponibilidade de recursos de energia elétrica, com climatização do ambiente, monitoração de perímetro e acesso ao ambiente, contando ainda com estruturas existentes para instalação de servidores para suportar a manobra
Page 1 and 2:
FACULDADES METROPOLITANAS UNIDAS PR
Page 3 and 4:
ROLF HENRIQUE NEUBARTH GOVERNANÇA
Page 5 and 6:
RESUMO As instituições do sistema
Page 7 and 8:
LISTA DE TABELAS Tabela 1 - Variaç
Page 9 and 10:
LISTA DE FIGURAS Figura 1- Modelo d
Page 11 and 12:
RPO - Recovery Point Objective RTO
Page 13 and 14:
11 1 INTRODUÇÃO O fortalecimento
Page 15 and 16:
13 tecnologia robusta não é mais
Page 17 and 18:
15 A Tabela 1 traz o levantamento r
Page 19 and 20:
17 O objetivo é avaliar os planos
Page 21 and 22:
19 2 FUNDAMENTAÇÃO TEÓRICA Neste
Page 23 and 24:
21 Sendo assim, estudos acadêmicos
Page 25 and 26:
23 facilitar a implementação da g
Page 27 and 28:
25 dos acionistas, mais consolidado
Page 29 and 30: 27 indústria financeira, riscos es
Page 31 and 32: 29 A premissa inerente do COSO é q
Page 33 and 34: 31 significativamente, a sua perspe
Page 35 and 36: 33 6. Comunicar-se com todos, ou co
Page 37 and 38: 35 Já a NBR/ISO 22301 é um conjun
Page 39 and 40: 37 agregam valor na busca por maior
Page 41 and 42: 39 Informação (FREITAS, 2010). Em
Page 43 and 44: 41 especificando um escopo de todos
Page 45 and 46: 43
Page 47 and 48: 45 centrado na investigação das p
Page 49 and 50: 47 da pesquisa. Para melhor visuali
Page 51 and 52: 49 utiliza múltiplos casos, inclui
Page 53 and 54: 51 Quadro 5 - Categorização do ro
Page 55 and 56: 53 Gestão de Continuidade de Negó
Page 57 and 58: 55 1. Identificar se as empresas po
Page 59 and 60: 57 Um teste do instrumento de entre
Page 61 and 62: 59 níveis da companhia. Além diss
Page 63 and 64: 61 mudanças submetidas passassem a
Page 65 and 66: 63 identificou-se que a empresa ana
Page 67 and 68: 65 ausência de uma estrutura de re
Page 69 and 70: 67 de completa indisponibilidade do
Page 71 and 72: 69 principal de operação, validan
Page 73 and 74: 71 O modelo de governança para a c
Page 75 and 76: 73 necessária para o devido suport
Page 77 and 78: 75 arquitetura de telecomunicaçõe
Page 79: 77 a instituição D possui um link
Page 83 and 84: 81 dos dados de backup realizada di
Page 85 and 86: 83 sobre a resiliência da indústr
Page 87 and 88: 85 somente daqui a alguns anos a ef
Page 89 and 90: 87 cibernéticos do mundo, em que d
Page 91 and 92: 89 Quadro 6 - Resumo dos resultados
Page 93 and 94: 91 países da América Latina que f
Page 95 and 96: 93 quantidade de dados trafegados e
Page 97 and 98: 95 Para os aspetos intrínsecos ao
Page 99 and 100: 97 indisponibilidade em seus sites
Page 101 and 102: 99 6 CONSIDERAÇÕES FINAIS A gest
Page 103 and 104: 101 acordo com o que prevê a melho
Page 105 and 106: 103 COOPER, Donald R.; SCHINDLER, P
Page 107 and 108: 105 JORION, Philippe. (1997). Value
Page 109 and 110: 107 STULZ, R. M. An analysis of div
Page 111 and 112: 109 (GRC) com a Gestão da Continui
Page 113 and 114: 111 _______________________________
Page 115 and 116: 113 q) A organização possui uma
Page 117: 115 _______________________________
show all

Rolf Neubarth Dissertacao Defesa FINAL REVISADO

Create successful ePaper yourself

Delete template?

Save as template?