Aspectos do gerenciamento de riscos de tecnologia da informa??o nas empresas: um estudo de caso m?ltiplos

Santana, Alixandre Thiago Ferreira

01 September 2009

Made available in DSpace on 2014-12-17T13:53:23Z (GMT). No. of bitstreams: 1 AlixandreTFS.pdf: 1217690 bytes, checksum: d5e77f95a1b58f94be74e2a07dbaac98 (MD5) Previous issue date: 2009-09-01 / The information technology - IT- benefits have been more perceived during the last decades. Both IT and business managers are dealing with subjects like governance, IT-Business alignment, information security and others on their top priorities. Talking about governance, specifically, managers are facing it with a technical approach, that gives emphasis on protection against invasions, antivirus systems, access controls and others technical issues. The IT risk management, commonly, is faced under this approach, that means, has its importance reduced and delegated to IT Departments. On the last two decades, a new IT risk management perspective raised, bringing an holistic view of IT risk to the organization. According to this new perspective, the strategies formulation process should take into account the IT risks. With the growing of IT dependence on most of organizations, the necessity of a better comprehension about the subject becomes more clear. This work shows a study in three public organizations of the Pernambuco State that investigates how those organizations manage their IT risks. Structured interviews were made with IT managers, and later, analyzed and compared with conceptual categories found in the literature. The results shows that the IT risks culture and IT governance are weakly understood and implemented on those organizations, where there are not such an IT risk methodology formally defined, neither executed. In addition, most of practices suggested in the literature were found, even without an alignment with an IT risks management process / Os benef?cios do uso da Tecnologia da Informa??o TI- nas organiza??es s?o cada vez mais percept?veis. Nos ?ltimos anos, os gestores v?m despertando para temas como governan?a, alinhamento estrat?gico, seguran?a da informa??o, dentre outros. Particularmente este ?ltimo, vem sendo tratado sob uma abordagem t?cnica, na qual se privilegia aspectos t?cnicos como prote??o contra invas?es, sistemas antiv?rus, controle de acesso etc. O tema gerenciamento de riscos em TI comumente ? tratado sob essa perspectiva, muitas vezes limitando-se a preocupa??es dos departamentos de TI. Na d?cada de 90, surge uma nova perspectiva para o gerenciamento de riscos, na qual ela ? tratada sob uma vis?o hol?stica dentro da organiza??o. Segundo essa nova abordagem, as estrat?gias da organiza??o devem levar em conta os riscos de TI em seu processo de elabora??o. Com o aumento da depend?ncia das tecnologias para a execu??o das atividades do neg?cio, fica latente a necessidade de se compreender melhor o tema. Este trabalho consiste em um estudo de casos m?ltiplos em tr?s organiza??es p?blicas do Estado de Pernambuco que investiga como essas organiza??es gerenciam os riscos inerentes ao uso da TI. Foram feitas entrevistas semi-estruturadas com os seus gestores de TI, que foram analisadas e comparadas com as categorias retiradas da literatura. Os dados mostram que os conceitos de cultura de riscos e de governan?a de TI s?o pouco compreendidos e implementados as organiza??es e que essas n?o possuem metodologias de gerenciamento de riscos de TI formalmente definidas, tampouco executadas. No entanto, exercem a maior parte das pr?ticas indicadas pela refer?ncia central da pesquisa, sem alinhamento com um processo de gerenciamento de riscos

Tecnologia da Informa??o

Gerenciamento de riscos de TI

Pernambuco

Avaliação dos riscos dos processos estratégicos da governança de TI

Pontes, Roberta Pinto Coelho Maciel

02 August 2018

Submitted by Sara Ribeiro (sara.ribeiro@ucb.br) on 2018-12-04T11:52:46Z No. of bitstreams: 1 RobertaPintoCoelhoMacielPontesDissertacao2018.pdf: 2813246 bytes, checksum: 08608fe7fab4d1e6d8702fc959fccecb (MD5) / Approved for entry into archive by Sara Ribeiro (sara.ribeiro@ucb.br) on 2018-12-04T11:52:57Z (GMT) No. of bitstreams: 1 RobertaPintoCoelhoMacielPontesDissertacao2018.pdf: 2813246 bytes, checksum: 08608fe7fab4d1e6d8702fc959fccecb (MD5) / Made available in DSpace on 2018-12-04T11:52:57Z (GMT). No. of bitstreams: 1 RobertaPintoCoelhoMacielPontesDissertacao2018.pdf: 2813246 bytes, checksum: 08608fe7fab4d1e6d8702fc959fccecb (MD5) Previous issue date: 2018-08-02 / The objective of this scientific research was to evaluate the strategic risks associated to IT Governance processes, using a specific method through which it was possible to measure the capability of these processes and to identify the associated risks, in an integrated way. The COBIT 5 PAM method was chosen to evaluate the processes and the scenario analysis tool was used to identify the risks. The method application was done in an institution and the processes selected for evaluation were the strategic level provided in COBIT 5, which composes the EMD domain. The risk identification was based on scenario analysis, using the results fixed in the PAM for capacity level 1 (in which the process is expected to fulfill its purpose) as an ideal scenario and as the actual scenario presented in the process evaluation. Aftering identified risks, they were submitted to a manager’s forum to be validated and prioritized. The result shows that the risk assessment method was efficient, as the risks were recognized by the managers. Also identified were the processes that need to be increased to mitigate the risks considered relevant were also identified. The direct association between processes, already evaluated in their capacities, and the resulting risks, already prioritized, allowed this simultaneous analysis. / O objetivo deste estudo foi avaliar os riscos estratégicos associados a processos de Governança de TI, utilizando um método próprio por intermédio do qual foi possível, de maneira integrada, mensurar a capacidade desses processos e levantar os riscos a eles associados. Foi escolhido o método PAM do COBIT 5 para avaliar os processos e utilizada a ferramenta análise de cenários para levantar os riscos. A aplicação do método foi feita numa instituição e os processos selecionados para avaliação foram os de nível estratégico previsto no COBIT 5, que compõe o domínio EMD. Já o levantamento dos riscos foi feito a partir de análise de cenário, utilizando como cenário ideal os resultados previstos no PAM para o nível de capacidade 1 (no qual está previsto que o processo cumpre a sua finalidade) e como cenário real aquele apresentado na avaliação do processo. Após os riscos levantados, eles foram submetidos a um fórum de gestores para serem validados e priorizados. O resultado demonstra que o método para levantamento de risco foi eficiente, na medida que os riscos foram reconhecidos pelos gestores. Foram também identificados os processos que precisam ser incrementados para mitigar os riscos considerados relevantes. A associação direta entre processos, já avaliados em suas capacidades, e os riscos decorrentes, já priorizados, permitiu esta análise simultânea.

Riscos de TI

Governança de TI

Avaliação de processos

Riscos estratégicos de TI

Process assessment

IT strategic risks

IT governance

IT risks