Conselho Regional de
Administração de São Paulo
Fraudes e Governança em TI
Frank Meylan
Sócio
KPMG
São Paulo, SP
20 de maio de 2008
© 2008 KPMG International. KPMG International is a Swiss cooperative of which all KPMG firms are members. KPMG International provides no services to clients.
Each member firm is a separate and independent legal entity and each describes itself as such. All rights reserved.
Currículo do Painelista
 Frank Meylan
Nome
XXX
 Sócio – KPMG Risk Advisory Services
 Frank é formado em Ciências da Computação pelo Instituto de Matemática
e Estatística da Universidade de São Paulo - IME – USP
 Possui Mestrado e Doutorado pela Escola Politécnica da Universidade de
São Paulo em redes de computadores e segurança da informação.
 Obteve a certificação GIAC Certified Firewall Analyst pelo SANS Institute.
Qualificações
 Ministrou as disciplinas de Estruturação da Área de Segurança e Redes
TCP/IP nos programas de mestrado do IPEN (Instituto de Pesquisas
Energéticas e Nucleares) e IPT (Instituto de Pesquisas Tecnológicas),
respectivamente.
Além disso, é responsável pela orientação de
dissertações de mestrados de diversos alunos.
© 2008 KPMG International. KPMG International is a Swiss cooperative of which all KPMG firms are members. KPMG International provides no services to clients.
Each member firm is a separate and independent legal entity and each describes itself as such. All rights reserved.
2
Governança e Fraudes em TI
© 2008 KPMG International. KPMG International is a Swiss cooperative of which all KPMG firms are members. KPMG International provides no services to clients.
Each member firm is a separate and independent legal entity and each describes itself as such. All rights reserved.
3
Conteúdo
As ameaças de incidentes e fraudes em TI
Ameaças externas – fraudes em aplicações Web
Ameaças internas – principais causas de fraudes em sistemas
corporativos
As fraudes em TI podem ser evitadas ?
Aprimorando a Governança de TI
© 2008 KPMG International. KPMG International is a Swiss cooperative of which all KPMG firms are members. KPMG International provides no services to clients.
Each member firm is a separate and independent legal entity and each describes itself as such. All rights reserved.
4
As ameaças de Incidentes e Fraudes em TI
As fraudes em TI podem ocorrer de diferentes formas,
dependendo da atuação da empresa e de sua
dependência tecnológica:
Fraudes Internas: fraudes cometidas por funcionários
ou colaboradores que possuem acesso às instalações
da companhia.
Fraudes Externas: fraudes executadas por pessoas
externas à companhia, porém utilizando recursos
computacionais dela.
© 2008 KPMG International. KPMG International is a Swiss cooperative of which all KPMG firms are members. KPMG International provides no services to clients.
Each member firm is a separate and independent legal entity and each describes itself as such. All rights reserved.
5
Ameaças Externas – Fraudes em Aplicações
Web
Atualmente podemos dividir as aplicações Web em duas
categorias:
Internos
ERP, aplicações específicas, etc.
Autenticação de usuários baseada em usuário e senha
Abrangência limitada aos funcionários internos
Servidores e estações protegidos pela política de segurança
corporativa
Externos
Aplicações voltadas a clientes, fornecedores e parceiros externos
Grande abrangência de utilização
Ambiente de comunicação inseguro (Internet)
© 2008 KPMG International. KPMG International is a Swiss cooperative of which all KPMG firms are members. KPMG International provides no services to clients.
Each member firm is a separate and independent legal entity and each describes itself as such. All rights reserved.
6
Fraudes em Aplicações Web
As aplicações Web voltadas a Internet despertam maior interesse
sob a perspectiva de segurança
A maioria dos sistemas de comércio eletrônico operados por
meio da Internet ainda são baseados em:
SSL (Secure Socket Layer) com autenticação apenas do servidor
Autenticação do cliente com login/senha
Entre estes sistemas destacam-se:
Internet Banking
Lojas Virtuais
Aplicações Governamentais (e-Gov)
Aplicações Médicas (resultados de exames laboratoriais)
© 2008 KPMG International. KPMG International is a Swiss cooperative of which all KPMG firms are members. KPMG International provides no services to clients.
Each member firm is a separate and independent legal entity and each describes itself as such. All rights reserved.
7
Fraudes em Aplicações Web
Breve histórico dos principais ataques e correspondentes
mecanismos de segurança desenvolvidos
Utilização do
Teclado Virtual
Utilização de criptografia
e certificação digital
(HTTPS)
Surgimento das
Aplicações Web
Ataques de
capturadores
de teclado
Incentivar o uso de:
Anti-vírus
Personal Firewall
Anti-trojan
Ataques de
“DLL Hook”
© 2008 KPMG International. KPMG International is a Swiss cooperative of which all KPMG firms are members. KPMG International provides no services to clients.
Each member firm is a separate and independent legal entity and each describes itself as such. All rights reserved.
8
Fraudes em Aplicações Web
Breve histórico dos principais ataques e correspondentes
mecanismos de segurança desenvolvidos (cont.)
Ataques de
sites
clonados
Confirmação do
Titular da conta
Envio de e-mails
Rápida atuação
falsificados,
com os
requisitando dados
provedores de
pessoais
Backbone
“Phishing”
brasileiros
Digital Brand
Management
Verificação de
servidores DNS
dos provedores
de acesso a
Internet
Incorporação de
novas
tecnologias nos
portais
© 2008 KPMG International. KPMG International is a Swiss cooperative of which all KPMG firms are members. KPMG International provides no services to clients.
Each member firm is a separate and independent legal entity and each describes itself as such. All rights reserved.
9
Fraudes em Aplicações Web
Breve histórico dos principais ataques e correspondentes
mecanismos de segurança desenvolvidos (cont.)
Ataques de
capturadores de
imagens
(snapshots)
Teclados Virtuais
com efeitos imã e
desaparecimento
Utilização de
teclados virtuais
dinâmicos
Ataques de
memory dump
Ataques de
intermediação
(Man in the
middle)
© 2008 KPMG International. KPMG International is a Swiss cooperative of which all KPMG firms are members. KPMG International provides no services to clients.
Each member firm is a separate and independent legal entity and each describes itself as such. All rights reserved.
10
Fraudes em Aplicações Web
Breve histórico dos principais ataques e correspondentes
mecanismos de segurança desenvolvidos (cont.)
“Autenticação” da localização
do acesso e estação utilizada
Criptografia na
Aplicação Web
FFIEC exige autenticação
Multi-factor
© 2008 KPMG International. KPMG International is a Swiss cooperative of which all KPMG firms are members. KPMG International provides no services to clients.
Each member firm is a separate and independent legal entity and each describes itself as such. All rights reserved.
11
Fraudes em Aplicações Web
Breve histórico dos principais ataques e correspondentes
mecanismos de segurança desenvolvidos (cont.)
Autenticação da origem
do acesso do cliente
Implementação de
Certificação Digital para:
Aplicações B2B
Internet Banking Empresas
Desafio: certificação digital
dos clientes “Pessoa Física”
Desafio: autenticação
dos clientes a partir de dispositivos
móveis (celular, palm, etc)
© 2008 KPMG International. KPMG International is a Swiss cooperative of which all KPMG firms are members. KPMG International provides no services to clients.
Each member firm is a separate and independent legal entity and each describes itself as such. All rights reserved.
12
Ameaças Internas
Motivadores das Fraudes Internas
Assegurar
emprego
Encobrir
erros
Estilo de
vida
Pressões
financeiras
Fraude por quê?
Manipular
pagamentos
ou bônus
Atingir
metas
Desafio
Oportunidade
© 2008 KPMG International. KPMG International is a Swiss cooperative of which all KPMG firms are members. KPMG International provides no services to clients.
Each member firm is a separate and independent legal entity and each describes itself as such. All rights reserved.
13
Ameaças Internas
• Estratégia de negócio
deficiente
• Lucros acima da média
do setor industrial
• Desproporção entre o
crescimento e o
desenvolvimento de sistemas
• Reputação deficiente
• Problemas de liquidez
• Estruturas complexas
• Filiais/subsidiárias
distantes com baixa
supervisão
• Estilo autocrático
• Desproporção de status e
personalidade
• Comportamento incomum
• Atos ilegais
• Estilos de vida caros
• Férias não gozadas
• Staff de baixa
educação/formação
Perfil do
risco de
fraude
• Moral baixa
• Alto “turnover” de staff
• Remuneração ligada à
performance
- • Resultados a
qualquer custo
• Compromisso
insatisfatório para
controle
• Inexistência de um
código de ética
• Obediência não
questionável do staff
© 2008 KPMG International. KPMG International is a Swiss cooperative of which all KPMG firms are members. KPMG International provides no services to clients.
Each member firm is a separate and independent legal entity and each describes itself as such. All rights reserved.
14
Principais causas de fraudes nos Sistemas
Corporativos
Do ponto de vista de segurança, destacam-se como
principais vulnerabilidades que afetam os sistemas:
Gerenciamento falho de usuários
Gestão inadequada de perfis de acesso
Interfaces entre sistemas inseguras
© 2008 KPMG International. KPMG International is a Swiss cooperative of which all KPMG firms are members. KPMG International provides no services to clients.
Each member firm is a separate and independent legal entity and each describes itself as such. All rights reserved.
15
Principais causas de fraudes nos Sistemas
Corporativos
Gerenciamento falho de usuários (descentralizado)
ERP
Web Server
• iPlanet
• Microsoft
• Apache
Employees
eCommerce
Financials
• Ariba
• Commerce One
Sales / Marketing
Sales / Mktg
• Netscape
• IE
• Siebel
• Epiphany
eFinance
• Hyperion
• Extensity
Customers
Identity
Server
• Oblix
• Netegrity
• Securant
Suppliers
Security
Server
•
•
•
•
Valicert
Verisign
IIS
RSA
Directory
Partners
• Oracle, M&D
• Siebel
Web Browser
Contractors
• SAP, Peoplesoft, Baan
• iPlanet
• eDirectory
• Active Directory
Web Infrastructure
Portals
• Plumtree
• Epicentric
• Corechange
Others
• Bowstreet
•.. .
Procurement
Enterprise
Application
Integration
•WebMethods
•TIBCO
• Marcam
Distribution
• i2
Business
HR
Corporate
• Peoplesoft
Email
• Exchange, Notes
Telephony
• Octel
Network
• Netware, NT
Mainframe
• RACF, ACF2, Topsecret
Facilities
Web Resources
* * * Company Names For Illustrative Purposes Only * * *
• typically custom
Asset Management
• J.D.Edwards
© 2008 KPMG International. KPMG International is a Swiss cooperative of which all KPMG firms are members. KPMG International provides no services to clients.
Each member firm is a separate and independent legal entity and each describes itself as such. All rights reserved.
Traditional Applications
16
Principais causas de fraudes nos Sistemas
Corporativos
Gerenciamento falho de usuários (descentralizado)
Provisioning
System administrators
Business managers
Privacy legislation
Security administrators
Data protection acts
Employees
Sarbanes-Oxley
Short user life cycles
Suppliers
100+
aplicações
1,000+ usuários
100,000+
funções
possíveis
Clients
Third parties
Immediate access
requirements
Basel II
Segregation of
duties
SSO
Employee self
service
Windows
SAP
Mergers and
acquisitions
PeopleSoft
Outstanding audit
issues
Mainframe
Consolidation
© 2008 KPMG International. KPMG International is a Swiss cooperative of which all KPMG firms are members. KPMG International provides no services to clients.
Each member firm is a separate and independent legal entity and each describes itself as such. All rights reserved.
17
Principais causas de fraudes nos Sistemas
Corporativos
Gerenciamento falho de usuários (cont.)
1. User Services
Como consequências, temos:
Security
LDAP
Usuários demitidos com acesso a sistemas Personnel
Usuários ativos acumulando acessos ao 2. Application Services
longo da carreira na empresa
DB
LDAP
Falta de padronização nas políticas de
segurança de acesso aos sistemas
OOD
3. Infrastructure Services
Domain
Intranet
Phonebook
Roles
PKI
LDAP
Extranet
© 2008 KPMG International. KPMG International is a Swiss cooperative of which all KPMG firms are members. KPMG International provides no services to clients.
Each member firm is a separate and independent legal entity and each describes itself as such. All rights reserved.
E-Mail
18
Principais causas de fraudes nos Sistemas
Corporativos
Recomendação: gerenciamento centralizado de
usuários
Security Office
Base de Usuários
Principal
ERP
NT 4.0 / W2K
Web
E-mail
Filiais
Appls Online
Parceiros
© 2008 KPMG International. KPMG International is a Swiss cooperative of which all KPMG firms are members. KPMG International provides no services to clients.
Each member firm is a separate and independent legal entity and each describes itself as such. All rights reserved.
19
Principais causas de fraudes nos Sistemas
Corporativos
Gestão inadequada dos perfis de acesso
Os perfis de acesso definem nos sistemas “quem pode fazer o que”.
Ao longo da carreira do funcionário nas empresas, ele sofre
modificações no seu perfil de acesso de acordo com a sua função.
Gerente
Estas modificações podem ser:
Horizontais; ou
Verticais.
Coordenador
Consultor
© 2008 KPMG International. KPMG International is a Swiss cooperative of which all KPMG firms are members. KPMG International provides no services to clients.
Each member firm is a separate and independent legal entity and each describes itself as such. All rights reserved.
20
Principais causas de fraudes nos Sistemas
Corporativos
Gestão inadequada dos perfis de acesso
Para tornar a gestão ainda mais complexa, existem diferentes tipos de
colaboradores:
Funcionários
Terceiros de longa duração (processos)
Terceiros de curta duração (projetos)
Fornecedores
Clientes
O grande desafio para a área de segurança de informação é:
Agrupar cada tipo de colaborador
Definir e aplicar a política de segurança
Definir os perfis em conjunto com as áreas de negócio, respeitando a
política
Implantar um processo de manutenção e monitoração dos perfis
© 2008 KPMG International. KPMG International is a Swiss cooperative of which all KPMG firms are members. KPMG International provides no services to clients.
Each member firm is a separate and independent legal entity and each describes itself as such. All rights reserved.
21
Principais causas de fraudes nos Sistemas
Corporativos
Gestão inadequada dos perfis de acesso
Do ponto de vista de processos, muitas falhas ocorrem devido à falta de
padronização nas requisições de cadastramento e alteração de perfil de
acesso
Nem sempre o processo está centralizado em áreas específicas, por
exemplo o RH e Security Office
Gestor da
área
RH
Funcionário
Contratação
Demissão
Promoção
Área de
Segurança
Suporte
TI
Perfil de Acesso
Criação
Remoção
Alteração
© 2008 KPMG International. KPMG International is a Swiss cooperative of which all KPMG firms are members. KPMG International provides no services to clients.
Each member firm is a separate and independent legal entity and each describes itself as such. All rights reserved.
22
Principais causas de fraudes nos Sistemas
Corporativos
Provisionamento
• Criação da conta e de serviços
personalizados
• Workflow de aprovação
Início do
relacionamento
Autenticação
• Validar a identidade do usuário
• Determinar o papel do usuário
• Single Sign-on
Novos
projetos
New project
Identity Lifecycle
Mudanças de
Change
localidade,
locations,
papéis,
roles, etcetc
Forget
Esquecimento
password
de senha
Autorização
• Estabelecer e monitorar os acessos dos usuários,
incluindo segregação de funções
• Procedimentos para tratamento, processamento e acesso
a informações privadas
• Controles para identificação de brechas
Self-Service
• Usuários podem resolver algumas rotinas administrativas
• Atualização das informações dos usuários são
sincronizadas nos sistemas
Gerenciamento de senhas
• Regras de senha estabelecidas e obrigatórias
• Procedimentos para criação, gerenciamento e alteração
das senhas dos usuários
• Reset de senha utilizando Self-service
Fim do relacionamento
Remoção
• Controles automatizados para identificar e
remover o acesso de aplicativos e sistemas
Compliance
• Habilidade de registrar em tempo real os logs de
segurança
• Monitorar os acessos
• Relatórios de auditoria
© 2008 KPMG International. KPMG International is a Swiss cooperative of which all KPMG firms are members. KPMG International provides no services to clients.
Each member firm is a separate and independent legal entity and each describes itself as such. All rights reserved.
23
Principais causas de fraudes nos Sistemas
Corporativos
Interfaces entre sistemas inseguras
Estudo de Caso: Fraude na folha de pagamento
Atualmente é muito comum a integração de sistemas distribuídos
por meio da troca de arquivos no “formato texto” (ASCII);
Sistema 1
Exporta arquivo
texto
Sistema 2
Importa arquivo
texto
Arquivo é armazenado em um sistema de arquivos
Ou transportado em uma mídia
© 2008 KPMG International. KPMG International is a Swiss cooperative of which all KPMG firms are members. KPMG International provides no services to clients.
Each member firm is a separate and independent legal entity and each describes itself as such. All rights reserved.
24
Principais causas de fraudes nos Sistemas
Corporativos
Estudo de Caso: Interfaces entre sistemas dependente de
intervenção manual
Estação de acesso ao
Internet Banking
Sistema de RH
Gera arquivo TXT
Folha de Pagamento
© 2008 KPMG International. KPMG International is a Swiss cooperative of which all KPMG firms are members. KPMG International provides no services to clients.
Each member firm is a separate and independent legal entity and each describes itself as such. All rights reserved.
Banco
25
Principais causas de fraudes nos Sistemas
Corporativos
Estudo de Caso: Interfaces entre sistemas dependente de
intervenção manual
Estação de acesso ao
Internet Banking
Sistema de RH
Gera arquivo TXT
Folha de Pagamento
Inclusão de novas contas
com valores associados
Remoção de
Benefícios de funcionários
afastados
© 2008 KPMG International. KPMG International is a Swiss cooperative of which all KPMG firms are members. KPMG International provides no services to clients.
Each member firm is a separate and independent legal entity and each describes itself as such. All rights reserved.
Banco
26
Principais causas de fraudes nos Sistemas
Corporativos
Estudo de Caso: Interfaces entre sistemas permitindo
intervenção manual
Como os valores totais eram mantidos, a empresa não detectava
A fraude
Estação de acesso ao
Internet Banking
Sistema de RH
Gera arquivo TXT
Folha de Pagamento
Inclusão de novas contas
com valores associados
Remoção de
Benefícios de funcionários
afastados
© 2008 KPMG International. KPMG International is a Swiss cooperative of which all KPMG firms are members. KPMG International provides no services to clients.
Each member firm is a separate and independent legal entity and each describes itself as such. All rights reserved.
Banco
27
Principais causas de fraudes nos Sistemas
Corporativos
Interface entre Sistemas
Interfaces Vulneráveis
Interfaces manuais
Arquivos texto de fácil
edição
Arquivos armazenados em
servidores sem controle
de acesso
Sem campos de controle
Interfaces Seguras
Interfaces automatizadas
Transferências on-line
Controle de integridade na
importação
Processo de conciliação
Controle de erros
© 2008 KPMG International. KPMG International is a Swiss cooperative of which all KPMG firms are members. KPMG International provides no services to clients.
Each member firm is a separate and independent legal entity and each describes itself as such. All rights reserved.
28
Dispositivos Portáteis
Redefinição do Perímetro da Rede
Corporativa
© 2008 KPMG International. KPMG International is a Swiss cooperative of which all KPMG firms are members. KPMG International provides no services to clients.
Each member firm is a separate and independent legal entity and each describes itself as such. All rights reserved.
29
Redefinição do Perímetro da Rede
Situação
tradicional
Situação
emergente
Tecnologia única para
cada segmento
Rede Corporativa
Mapeada e estática
Padronizadas
Diversas tecnologias
atuando
simultaneamente
Dinâmica
Estações
Notebooks, Tablets,
Palms, Celulares
Inventariados e
controlados
Softwares
Instalados
Específicos de cada
equipamento e SO
© 2008 KPMG International. KPMG International is a Swiss cooperative of which all KPMG firms are members. KPMG International provides no services to clients.
Each member firm is a separate and independent legal entity and each describes itself as such. All rights reserved.
30
Redefinição do Perímetro da Rede
Visão Tradicional
Security Office
Mail Server
Anti-Vírus
Server
WWW Server
DMZ - Internet
Internet
Rede Corporativa
Firewall
Firewall
Controle IDS
Firewall
Server Farm
Rede de
Terceiros
SQL Server WWW Server
DMZ - Terceiros
Firewall
OS 390 Oracle HP-UX Win2K Solaris
Manutenção remota
© 2008 KPMG International. KPMG International is a Swiss cooperative of which all KPMG firms are members. KPMG International provides no services to clients.
Each member firm is a separate and independent legal entity and each describes itself as such. All rights reserved.
31
Redefinição do Perímetro da Rede
Desafios da segurança da rede corporativa:
Disseminação do uso de Notebooks;
Implantação de redes wireless;
Utilização de Palms, celulares;
Gravadores de CD-ROM e DVD;
Dispositivos externos via porta USB:
Tokens de memória (Pen drive);
Tokens wireless;
© 2008 KPMG International. KPMG International is a Swiss cooperative of which all KPMG firms are members. KPMG International provides no services to clients.
Each member firm is a separate and independent legal entity and each describes itself as such. All rights reserved.
32
Redefinição do Perímetro da Rede
Como lidar com os novos equipamentos portáteis
disponíveis no mercado ?
Serial/USB
Proibir o seu uso ?
MemoryCards
802.11
CDMA/GSM/GPRS
Bluetooth
Infrared
Normatizar e controlar ?
Câmera
Como garantir a segurança da
informação transportada ou
armazenada ?
Gravador
E-mail
Web
© 2008 KPMG International. KPMG International is a Swiss cooperative of which all KPMG firms are members. KPMG International provides no services to clients.
Each member firm is a separate and independent legal entity and each describes itself as such. All rights reserved.
33
Redefinição do Perímetro da Rede
Server Farm
Access Point
não autorizado
Firewall
Rede Corporativa
Gateway
Internet
© 2008 KPMG International. KPMG International is a Swiss cooperative of which all KPMG firms are members. KPMG International provides no services to clients.
Each member firm is a separate and independent legal entity and each describes itself as such. All rights reserved.
34
Redefinição do Perímetro da Rede
Quais áreas detém informações sensíveis e não
devem permitir a utilização de nenhum equipamento
eletrônico ?
Engenharia
Marketing
Novos Produtos
Call Center
Diretoria
Administração
Operação
© 2008 KPMG International. KPMG International is a Swiss cooperative of which all KPMG firms are members. KPMG International provides no services to clients.
Each member firm is a separate and independent legal entity and each describes itself as such. All rights reserved.
35
As fraudes em TI podem ser evitadas?
O combate às fraudes em TI depende de um esforço integrado de
investimento tanto em mecanismos de segurança tecnológica
quanto em processos operacionais.
Motivação + Oportunidade = Fraude
Ações de combate
à fraude
Política de Segurança
Termos de concordância
Treinamentos periódicos
Auditorias periódicas
Avaliação de vulnerabilidades periódicas de
redes e sistemas
Implementação de sistemas inteligentes contra
fraude (cartão de crédito, InternetBanking,
ATM)
Auditorias não programadas sobre ações
realizadas em sistemas
Segregação de funções
Sistema de denúncia anônima
© 2008 KPMG International. KPMG International is a Swiss cooperative of which all KPMG firms are members. KPMG International provides no services to clients.
Each member firm is a separate and independent legal entity and each describes itself as such. All rights reserved.
36
Definindo Governança de TI
Governança de TI é a organização e gerenciamento de:
Sistemas de informação
Pessoas
Tecnologias e
Performance
Management
Controles
Process
People
para suportar de forma
eficiente e eficaz o
atingimento dos objetivos
da Organização.
Technology
Strategic
Initiatives
Management
Framework
Controls
Business
Alignment
Financial
Management
Risk
Management
Transformation
Investment
Management
Compliance
Risk
Strategic
Spending
Cost
Control
Communication
© 2008 KPMG International. KPMG International is a Swiss cooperative of which all KPMG firms are members. KPMG International provides no services to clients.
Each member firm is a separate and independent legal entity and each describes itself as such. All rights reserved.
37
Governança de TI tem significados diferentes
para pessoas diferentes...
 TI é orientada para o
cliente
 Tomar decisões de
investimento em infraestrutura de TI
 Decidir onde TI pode
agregar mais valor
 Conhecer os riscos
"É um facilitador"
 Equilibrar custos e riscos
 Decisão de investimento
local ou centralizada
 Gestão de riscos e
conformidade
 Capaz de comparar
projetos capacitados por TI
com outros projetos
“Tem valor pelo dinheiro"
 Pode influenciar a
estratégia de negócios
 Nos permite determinar
a prioridade das
exigências
 Capaz de proteger
ativos de TI
"É essencial para a
estratégia de negócios"
© 2007 KPMG Risk Advisory Services, sociedade brasileira, membro da KPMG International, uma cooperativa suíça.
Todos os direitos reservados.
38
Por outro lado...
 Assegurar que funcione
 Não estourar o
orçamento de projetos
de TI
 Não atrasar a
organização
 Sem surpresas
"É um produto básico"
 Controle dos custos de
 Forma de introduzir
TI
 Sarbanes-Oxley
 Comitês diretivos
 Gestão de riscos e
conformidade
tecnologias novas e
estimulantes
 Assegurar que
tenhamos o
orçamento necessário
 Por que não nos
informam da
estratégia?
"É uma mercadoria cara"
É uma ferramenta complicada
© 2007 KPMG Risk Advisory Services, sociedade brasileira, membro da KPMG International, uma cooperativa suíça.
Todos os direitos reservados.
39
A Evolução do Papel do CIO
Papel do CIO Tradicional
Papel Desejável do CIO
O CIO tradicional possui um perfil
mais de executor de projetos do que
um executivo pró-ativo nas decisões
dos rumos da companhia.

Reage às pressões das áreas de
negócio e direcionadores de mercado
ao invés de antecipá-los
 Reduz custos eliminando funções ou
serviços
 Considera novas tecnologias como
fundamentais para a companhia, sem
avaliar a fundo os reais benefícios
para o negócio
 Procura organizar a TI de forma a
entregar níveis de serviços confiáveis
e adequados.



O CIO atualizado está preocupado em
gerenciar todo o portfolio de serviços
e responsabilidades para produzir um
desempenho aprimorado.
Trabalha em conjunto com os pares de
negócios para entender seus objetivos
e desafios de mercado
 Procura sempre antecipar as
necessidades de negócios
 Identifica indivíduos que possam
gerar relacionamento entre as
unidades de negócios e entender os
processos operacionais de cada área.
© 2008 KPMG International. KPMG International is a Swiss cooperative of which all KPMG firms are members. KPMG International provides no services to clients.
Each member firm is a separate and independent legal entity and each describes itself as such. All rights reserved.
40
Aprimoramento da Governança de TI
Governança de TI
Processos
Nível de Maturidade
Otimizado
Gerenciado
Definido
Repetitivo
ATUAL
Inicial
DESEJADO
© 2008 KPMG International. KPMG International is a Swiss cooperative of which all KPMG firms are members. KPMG International provides no services to clients.
Each member firm is a separate and independent legal entity and each describes itself as such. All rights reserved.
41
Obrigado
Frank Meylan
Risk Advisory Services
Tel(0xx21)
(0xx11) 3231-9415
2183-3187/ 9136-1004
Tel
[email protected]
[email protected]
www.kpmg.com.br
www.kpmg.com.br
© 2008 KPMG International. KPMG International is a Swiss cooperative of which all KPMG firms are members. KPMG International provides no services to clients.
Each member firm is a separate and independent legal entity and each describes itself as such. All rights reserved.
42