Resolução 4.557 – GPS: Guia de práticas de supervisão do BC: Gestão do Risco de TI – parte 7

Publicado em por

Gestão do Risco de TI em uma página: um resumo não exaustivo seguindo a numeração do próprio GPS e da ilustração.

Destacamos que, além das soluções relevantes desenvolvidas ou adquiridas formalmente pela área de TI, também serão avaliadas aquelas utilizadas pelas demais áreas sem intermediação do departamento de tecnologia: soluções departamentais também conhecidas como Shadow IT.

Critérios a serem avaliados pelo supervisor na gestão de risco de TI:

1.1.Definição

  • Composição: Políticas, processos, práticas, procedimentos, órgãos de governança (por exemplo, comitês ou fóruns), pessoas, sistemas, ferramentas, equipamentos.
  • Finalidade: Gerenciar sua exposição aos riscos tecnológicos, incluindo aspectos de Segurança Cibernética e da Informação (SI), inerentes às suas atividades.

1.2.Estrutura

  • Compatibilidade: Natureza, porte, complexidade, estrutura e perfil de risco de TI.
  • Composição: Sistemas, processos e infraestrutura de TI robustos e adequados às necessidades de seu modelo de negócio.
  • Condições: Tanto em circunstâncias normais de operação quanto em períodos de estresse.
  • Regulamentação: alinhamento à vigente, em especial, ao gerenciamento do risco operacional e à política de segurança cibernética.

1.3. Melhoria contínua

  • Objetivo: evoluir conforme necessidades de mudanças do modelo de negócio.
  • Mitigação do risco: Estratégia de TI inadequada podendo frustrar a estratégia de negócios ou tratamento inadequado da exposição aos riscos tecnológicos.

1.4. Avaliação ampla

  • Escopo de avaliação: uso de todos recursos computacionais.
    • Infraestrutura tecnológica provida pela área de TI.
    • Soluções departamentais (Shadow IT): desenvolvidos ou contratados diretamente pelas demais áreas e não pela área de TI.
    • Serviços relevantes de processamento, armazenamento de dados e computação em nuvem.

2. Objetivos da Avaliação

  • Determinar o nível de adequação conforme a definição do item 1.1 em todas suas atividades operacionais, gerenciais e administrativas.
  • A avaliação dos componentes do gerenciamento do risco de TI deve considerar:
    • Porte, complexidade e grau de dependência da TI.
    • Nível de risco inerente às suas atividades operacionais, gerenciais e administrativas.

Face à extensão do assunto, esse resumo se limita a menos de uma página, pois seus futuros detalhamentos ainda renderão muitos artigos para reflexão.

Um bom fim de semana (prolongado para alguns paulistas) a todos.

Yoshio Hada

Sócio administrador da B3Bee Consultoria e Sistemas, licenciando sistemas de automação em controle de prazos e limites (regulatório ou de risco) para instituições financeiras.

Fontes

Baseado no Guia de Práticas de Supervisão do Banco Central do Brasil, subitem 7.10.10.10.08.02, o presente artigo é um resumo não exaustivo dando continuidade aos artigos GPS parte 3-novos grupos, GPS parte 4-risco de reputação, GPS parte 5-risco de contágio e GPS parte 6–risco de TI abordando os novos grupos da supervisão do Banco Central.

Supervisão do Sistema Financeiro

https://www.bcb.gov.br/estabilidadefinanceira/supervisao

GPS-Guia de Práticas da Supervisão do Banco Central:

https://www3.bcb.gov.br/gmn/visualizacao/listarDocumentosManualPublico.do?method=listarDocumentosManualPublico&idManual=1

GPS – Gestão do Risco de Tecnologia da Informação (TI)

https://www3.bcb.gov.br/gmn/downloadArquivo.do?method=downloadArquivo&id=2416&isValidar=false

Post Views: 2.024

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *