Tal como muitas empresas que lidam com grandes volumes de transações financeiras, a ARC precisa renovar anualmente a certificação do PCI DSS (Padrão de Segurança de Dados do Setor de Cartões de Pagamento) a fim de aumentar o controle em torno dos dados do titular do cartão e reduzir o risco de fraude. Ainda assim, essas atividades oferecem uma perspectiva pouco útil sobre riscos reais ou conformidade pois a auditoria ocorre apenas uma vez por ano. Além disso, perde-se muito tempo para reunir a documentação e os dados para os auditores, pois estes foram processados manualmente em planilhas e disponibilizados via SharePoint. Tampouco havia uma orientação para uma abordagem descendente (top-down).

Blog-ERM

Para converter a visão de riscos de TI em uma visão de risco organizacional, destaco a estratégia adotada por nós na ARC para alcançar nosso objetivo de automatizar avaliações de riscos contínuos e o processo de certificação ISO 27001. Elaboramos 5 passos fundamentais para implementar o Gerenciamento de Riscos Corporativos (ERM):

Os 5 passos:

1. Definir um Framework Utilizamos a ISO 27001, um sistema padrão de gerenciamento de segurança da informação, adotado internacionalmente, que fornece um método de gerenciamento de riscos e ativos de TI para um conjunto abrangente de políticas, processos e sistemas, permitindo uma visão empresarial de riscos.

2. Conduzir o Escopo através da Avaliação de Risco: O trabalho de Recuperação de Desastres & Continuidade de Negócios foi fundamental para definir o escopo do planejamento, incluindo a priorização e indentificação de processos de negócios críticos e riscos.

3. Mapear os Riscos Todos os riscos foram identificados (alavancando outras metodologias fornecidas pelo NIST – National Institute of Standards and Technology, ISACA – Information Systems Audit and Control Association, etc.), avaliados em termos de probabilidade e impacto, e relacionados com a estratégia de empresa; em seguida, os controles vinculados a esses riscos foram avaliados; e, finalmente, os riscos residuais foram definidos e foi desenvolvido um plano de ação mais assertivo.

4. Tratar, Medir e Monitorar Continuamente A criação de um plano de tratamento de riscos, estabeleceu um conjunto consolidado de métricas representativas utilizando eventos de perda e, agora, monitorando continuamente. Aplicando o CMM – Capability Maturity Model a ARC foi capaz de estabelecer metas de curto e longo prazo e pontuações de progresso para um sistema de melhoria contínua.

5. Automatizar Sempre que possível, utilizamos ferramentas, como o Modulo Risk Manager™, para automatizar processos manuais ineficientes e ineficazes.

Vale ressaltar uma importante dica para o sucesso de um planejamento deste porte:

Comece com o básico e amplie. Inicie pela gestão de vulnerabilidades, conformidades ou remediação, por exemplo.

Ao mudar a abordagem de uma gestão de conformidades isolada e ascendente (bottom-up) com base em checklists, para uma visão descendente (top-down) de planejamento corporativo, passamos a ter uma gestão real de riscos. Lidamos com uma grande quantidade de informações importantes e agora temos a visibilidade da condição geral de segurança da empresa e, ao mesmo tempo, mantemos um diálogo em comum com os setores envolvidos.

Por fim, ressalto a importância da ferramenta utilizada que possibilitou uma visão holística da empresa para que eu pudesse conectar tudo. No caso de um evento em um nível inferior, posso demonstrar como ele impacta no negócio e tenho tudo em um só lugar, sem pilhas de papéis para serem apresentadas à equipe executiva e auditores. Também pude implementar tudo em questão de semanas ou meses versus anos no caso de outras ferramentas.

Assista o webinar completo sobre este grande Caso de Sucesso.

Faça Download do case

Rich Licato

rich-licato

 

CISO da ARC. Responsável pela estratégia de segurança da informação, arquitetura, engenharia, serviços e operações; segurança física e planejamento de continuidade de negócios na empresa ARC. Liderou a organização para obter a certificação ISO 27001 em 2013.

Compartilhe conhecimentoShare on LinkedInShare on FacebookTweet about this on TwitterShare on Google+
http://segurancadainformacao.modulo.com.br/wp-content/uploads/2014/03/30.pnghttp://segurancadainformacao.modulo.com.br/wp-content/uploads/2014/03/30.pngMódulo SecurityERMARC,ERM,ISO 27001,PCI
Tal como muitas empresas que lidam com grandes volumes de transações financeiras, a ARC precisa renovar anualmente a certificação do PCI DSS (Padrão de Segurança de Dados do Setor de Cartões de Pagamento) a fim de aumentar o controle em torno dos dados do titular do cartão e reduzir...