Rolf Neubarth Dissertacao Defesa FINAL REVISADO
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
78<br />
controles de compliance mais rígidos do que os que estão atualmente implementados e que<br />
exigem mais que o processo de implementação desses controles adicionais. Atualmente, tais<br />
processos são vistos como uma estratégia de investimento, no sentido de tornar a empresa mais<br />
controlada e com um nível de maturidade maior. Entretanto, isso não significa que práticas<br />
operacionais, como uma gestão de mudança ou mapeamento de entidades externas, sejam vistas<br />
de forma a agregar algo à operação. Dentro de uma análise de risco operacional e gestão de<br />
continuidade de negócios, não há boas práticas de frameworks, como o ITIL, por exemplo, ou<br />
em nenhum nível de atuação da empresa, denotando-se a não existência de uma gestão de<br />
mudança ou o mapeamento de fornecedores críticos que estejam refletidos em um plano de<br />
recuperação. Há sim a gestão de fornecedores e contratos, mas somente em um nível jurídico.<br />
O entrevistado disponibilizou, para vistas durante a investigação, documentos considerados<br />
como dados secundários, que evidenciam que há um plano de recuperação de desastres sendo<br />
confeccionado e com informações consideradas críticas para executá-lo. Há ainda a evidência<br />
de que haverá a aprovação deste plano, mas não há evidências ou informações sobre um teste<br />
sendo realizado, de forma integral, com áreas de negócio em acordo com a ISO 22301.<br />
4.5 Instituição E<br />
A instituição E apresenta um porte médio, em termos de plataformas tecnológicas entre<br />
as demais unidades casos investigadas. A empresa possui unidades no Rio de Janeiro, São Paulo<br />
e Minas Gerais, mas seu principal ponto de operações concentra-se em são Paulo.<br />
A empresa possui 330 funcionários distribuídos nesses escritórios. O Diretor de<br />
Operações e Tecnologia se dispôs a receber o entrevistador presencialmente. Com relação à<br />
governança corporativa, a instituição E possui políticas e processos que se desdobram para<br />
controles, que podem ser considerados indícios de uma governança corporativa bem<br />
estruturada. O entrevistado representa a diretoria de operações da empresa. Esse profissional<br />
não é certificado em GCN ou InfoSec, mas possui especialização nas áreas de risco operacional<br />
e gerência de projetos. Seu conhecimento é focado em negócios, operações e tecnologia da<br />
informação, no que tange à corretagem de seguros e a outras áreas de operações que envolvem<br />
governança crítica as suas operações. Tais funções encontram-se acumuladas em sua gestão<br />
como risco operacional, compliance, segurança da informação e aspectos regulatórios.<br />
A instituição E não possui profissionais dedicados à disciplina de gestão de continuidade<br />
de negócios ou governança de risco operacional, como se observou também na instituição D,