GRC - Governança, Riscos e Compliance já é uma realidade nas organizações. Sua adoção, no entanto, implica no desenvolvimento e na manutenção de um framework que viabilize a integração e colaboração entre as áreas, evitando silos, garantindo maior transparência e consistência nos processos corporativos. O Módulo Risk ManagerTM implementa um processo eficaz para automatização e integração dos processos de Governança, Riscos e Compliance, eliminando silos e reduzindo custos e favorecendo a colaboração entre as áreas. A partir do GRC Metaframework, metodologia proprietária desenvolvida com base em normas e padrões internacionais para gestão de riscos e alinhada à ISO 31000, o Módulo Risk Manager permite a mensuração e controle dos riscos, conformidade com normas e regulamentações exigidas para seu negócio e a governança em TI. O Módulo Risk Manager fornece workflow para tratamento dos riscos identificados nas avaliações e priorização das ações. Mapeamento dos ativos, processos de negócios, sistemas e serviços. A organização do inventário é facilmente implementada pela estruturação de perímetros organizacionais. A avaliação dos riscos é realizada pontuando os ativos, de acordo com sua relevância para os negócios da organização. A partir de Bases de Conhecimento constantemente atualizadas, o Módulo Risk Manager realiza análises de riscos e possibilita acompanhar a evolução dos níveis de riscos. O software permite a customização e criação de Bases de Conhecimento de acordo com as necessidades de cada organização. AUTOMAÇÃO DO PROCESSO DE GOVERNANÇA ALINHADO AO COBIT 4.1 Avalia a infraestrutura de TI frente aos objetivos de controles do CobiT, identifica o grau de maturidade e integra o resultado das análises de riscos. GESTÃO DE EVENTOS, CRISES E INCIDENTES Gerencia o ciclo de vida de eventos e incidentes desde o registro até sua resolução, incluindo definição de responsabilidades e ações para tratamento. INVENTÁRIO DE ATIVOS Viabiliza inventário e repositório de ativos tecnológicos e não tecnológicos. Departmento de TI Infraestrutura de TI Roteador Sistema de Gestão de Risco Gerente de TI Recursos Humanos Vendas Sistema de Pagamento Sistema de Vendas Gestão de Mudanças Servidor de Banco de Dados (Pagamento) Financeiro Operações AUTOMATIZAÇÃO DO PROCESSO DE GESTÃO DE RISCOS Gerencia e controla os riscos alinhado à norma ISO 27002. Fornece suporte à tomada de decisões facilitando o desenvolvimento de estratégias para controlar e minimizar os riscos a níveis aceitáveis pela organização. Quantitativo 98% 97% Fundos Particular 92% 91% 32% 24% Processadora Ações Emissora MULTI-COMPLIANCE FRAMEWORK | METAFRAMEWORKTM O MetaFrameworkTM é um sistema multirregulatório projetado para simplificar a conformidade com diversos padrões e regulamentações simultaneamente. 27% 23% 2% 1% Índice de Não-Complexidade Índice de Risco GESTÃO DE MÚLTIPLAS AUDITORIAS Gestores possuem o grande desafio de adequar-se a diversos frameworks, tarefa que exige conhecimento e ações específicas para cada padrão ou regulamentação com que a organização precisa estar em conformidade. WORKFLOW PARA TRATAMENTO DE RISCOS Permite acompanhar o tratamento de riscos e planos de ação para implementação de controles. AUTOMATIZAÇÃO DO PROCESSO DE CONFORMIDADE COM NORMAS E REGULAMENTAÇÕES: GESTÃO DE CONTINUIDADE DE NEGÓCIOS ALINHADA À NORMA BS 25999 / ABNT 15999 Apoia e automatiza a implementação de um sistema de Gestão de Continuidade e Contingência, facilitando a criação e atualização dinâmica das informações referentes aos planos e procedimentos. Possibilita avaliar a conformidade com normas e regulamentações tais como SOx, PCI DSS, ISO 27002, Bacen 3380, BS 25999 / ABNT NBR 15999, Basiléia II, Shared Assessments Program e outras. Facilita a gestão de múltiplas auditorias através de emissão de relatórios de referência cruzada e repositório de evidências. Avaliação sob a visão Risk Oriented com a identificação e controle dos riscos. A pontuação da Probabilidade e do Impacto de cada Risco permite que a Matriz seja gerada automaticamente. Além disso, é possível gerar relatórios relacionando os elementos do inventário, como Ativos, Perímetros, Componentes de Negócio e controles existentes aos riscos identificados. Riscos Define os Riscos Escopo Indica o escopo Controles Probabilidade Matriz de Riscos Impacto Associa aos controles Relatórios Orientados ao Risco Mobilidade para Coleta de Dados As análises podem ser automatizadas com o uso de dispositivos como iPhone, smartphone, questionários web, entrevistas off-line e coletores automáticos em recursos tecnológicos. Divulgação, Controle, Armazenamento e Gerenciamento das Políticas e Normas da Organização | Policy Manager Gerenciamento e controle das normas, políticas e diretrizes. Por meio de uma interface web, simples e intuitiva é possível: • Distribuir as políticas e normas da organização • Definir usuários e responsáveis pela manutenção e atualização dos documentos • Implementar fluxo para manutenção, atualização e aprovação das políticas • Armazenar evidências, registros de distribuição e leitura dos documentos • Controlar versões dos documentos GRC Integration Service Simulação de Cenários |“What-if Scenario” Integração com as principais aplicações e sistemas como Sharepoint, Qualys, Active Director e outros. Suporte aos padrões CPE e CCE do NIST e suporte ao OVAL. Permite simular ações para tratamento de riscos fornecendo apoio à tomada de decisões. Estatísticas da Simulação de Tratamento de Riscos (PSR) 9,5% 29,2% 12,4% 12,4% 30,1% 52,0% 10,4% Controlado Identificados Em Tratamento Aceitos Não Avaliados Gestão de Conhecimento Centraliza e estrutura o conhecimento de riscos e compliance por meio de editores de bases de conhecimento, documentos de referência, fontes de ameaças e pesquisas. Informações consolidadas sobre os processos de Governança, Riscos e Compliance na organização. Através de um painel de indicadores com diversas opções de gráficos customizáveis e atualizados automaticamente, o software fornece informações integradas, incluindo índices e métricas para gestão e monitoramento de GRC. 48,0% 48,0% Análise Avaliação Simulação Simulação de Estatísticas de Riscos da Avaliação Antes da Simulação Após Simulação PSR (Controles) 1473 (50) 29,2% 34,2% Risk: 41,7% Aceitos 627 (16) 12,4% 11,0% Gap: 45,2% Em Tratamento 522 (20) 10,4% 13,7% 2418 (60) 48,0% 41,1% 2418 Não Avaliados Controlados Painel de Governança | Dashboard 48,0% Risk Index Gap Index Residual PSR (Controles) 477 (19) 9,5% 13,0% Risk: 21,9% 627 (16) 12,4% 11,0% Gap: 24,0% 1518 (51) 30,1% 34,9% (60) 48,0% 41,1% Risk Index Gap Index Residual Conduzir de forma otimizada projetos de análise de Gaps em Governança, Riscos e Compliance Criar Risk Scorecard, fornecendo visão executiva dos riscos, incluindo índices e métricas que facilitam estabelecer critérios e apoiar a tomada de decisões Obter resultados precisos no processo de conformidade com normas e regulamentações internacionais e de mercado Consolidar os riscos permitindo priorizar investimentos conforme a importância de cada ativo para a organização Acompanhar a evolução dos riscos Gerenciar de forma centralizada Riscos e Compliance, incluindo a evolução histórica Apresentar visão georreferenciada dos riscos Realizar auditorias mais eficientes e com menores custos Gerenciar os requisitos de segurança em múltiplas auditorias, eliminando custos redundantes e controles desnecessários Apoiar a implementação dos requisitos de Certificação para SOx, PCI DSS, ISO 27002, ISO 27001, BS 25999, CobiT, Basiléia II e Shared Assessments program Apoiar a gestão de Planos de Continuidade facilitando a manutenção e recuperação rápida das informações e procedimentos, alinhada à norma BS 25999 Facilitar a Gestão de Eventos e Incidentes. “O Módulo Risk ManagerTM tem funcionalidades bem estruturadas: mapeamento de controles, gerenciamento de políticas, apoio ao selfassessment, além de coletores automáticos que são amplamente utilizados por seus clientes”. “O software Módulo Risk ManagerTM deve ser considerado quando se for buscar um produto para riscos e compliance de TI, porque oferece soluções robustas para todas as áreas funcionais da empresa”. “Os auditores irão apreciar a capacidade da ferramenta em gerar planos de tratamento de riscos para ativos específicos. O guia de tratamento fornecido para cada ativo do escopo é conciso, mas completo”. A Módulo é uma empresa brasileira, com atuação global, especializada em prover soluções automatizadas para Governança, Riscos e Compliance (GRC). Com 25 anos de experiência, atua nas áreas de software, consultoria e educação. Primeira empresa de segurança da informação no mundo certificada pela ISO 27001, a Módulo conta com clientes dos mais variados setores, tendo participado de projetos internacionalmente reconhecidos, como as eleições eletrônicas brasileiras, a entrega de imposto de renda via Internet e o Sistema de Pagamentos Brasileiro (SPB). Nos XV Jogos Pan-Americanos realizados no Rio de Janeiro em 2007, a Módulo foi a fornecedora do software Módulo Risk Manager, para gestão de riscos, prevenção, monitoramento e controle de incidentes e crises durante todo o evento. Dentre os prêmios recém-conquistados, destacamse os títulos internacionais Product Innovation Award 2010, Global Product Excellence Awards – Customer Trust 2010, na categoria melhor solução em auditoria, e Hot Company 2009, além do Prêmio FINEP de Inovação na categoria Média Empresa – Região Sudeste. www.modulo.com.br