Currículo :

Gerente Setorial de Controles Internos de Tecnologia e Sistemas de Informação da PETROBRAS, Bacharel em Informática pela Universidade Federal do Rio de Janeiro - UFRJ, com MBA Executivo pelo COPPEAD-UFRJ, possuindo a certificação CISA - Certified Information System Auditor.
Atua há vários anos na área de TI, com experiência em Desenvolvimento de sistemas, Arquitetura, Infra-Estrutura e SI.

Tópicos dos Assuntos abordados:

• Introdução à Lei Sarbanes-Oxley;
• Correlação SOX, TI e COBIT;
• Alinhamento de conceitos;
• Principais mudanças decorrentes do AS5;
• Metodologia utilizada no projeto;
• Reflexões sobre o processo.

Conteúdo:

A apresentação visa mostrar a experiência da PETROBRAS na aplicação do padrão Auditing Standard 5, emitido pelo Public Company Accounting Oversight Board (PCAOB), que é adotado pelos Auditores Externos para a emissão de opinião independente acerca dos controles internos sobre os relatórios financeiros das companhias listadas no mercado de capitais norte-americano e novas orientações para avaliação de controles internos pela administração destas companhias emitido pela Securities and Exchange Commission (SEC).
A apresentação terá como objetivo mostrar os principais conceitos e mudanças oriundas do novo padrão, mostrando sua aplicação na prática, baseado na experiência da implementação do projeto realizado na Petrobras através da sua área de Controles Internos e Tecnologia da Informação.
Será apresentada a metodologia utilizada no projeto, assim como os principais ganhos com a aplicação da mesma, dificuldades encontradas, visão da administração e auditor externo.
Também serão apresentados alguns exemplos de controles diretos em nível de entidade que podem ser aplicados no ambiente de TI, possibilitando a detecção tempestiva de erros relevantes nas informações e/ou operações da Companhia com impacto nos relatórios financeiros consolidados.

Data : 22 de setembro de 2009
Tema : Compliance, Auditoria e Forensics - duração : 30 minutos
Horário: 18h15 às 18h45 - sala : 2
P 09 - Título: Auditoria de Governança e Terceirização de TI na Administração Pública Federal
Daniel Jezini, Auditor Federal de Controle Externo - TCU

Currículo :

Auditor Federal de Controle Externo do TCU desde 2001.
Atualmente exerce a função de Diretor Substituto na Secretaria de Fiscalização de Tecnologia da Informação - Sefti/TCU. Antes do TCU, atuou profissionalmente como analista de sistemas na IBM, na área de suporte. MBA em Gerência em Operações de Energia pelo Cefet-Rio, e graduado em Informática pela Universidade Federal do Rio de Janeiro (1992-1997). É instrutor do Instituto Serzedello Corrêa do TCU.

Tópicos dos Assuntos abordados:

• Antecedentes e origem;
• Abordagem da Sefti;
• Relevância do tema;
• Objetivos e escopo da auditoria;
• Alguns números;
• Principais resultados da avaliação;
• Causas potenciais e Propostas de encaminhamento.

Conteúdo:

A relação entre terceirização e governança de TI é estreita: sem o nível adequado de governança não há como garantir que a terceirização produzirá os resultados esperados. Nesta sessão apresentaremos a experiência do TCU na avaliação de terceirização e governança de TI em entes da Administração Pública Federal (APF). O trabalho foi realizado no último quadrimestre de 2007, e o objetivo foi avaliar a terceirização no setor de TI dos entes da APF selecionados, em especial a adequação da estrutura da unidade e seus processos de aquisição e gestão de serviços terceirizados. Foram avaliadas 12 organizações da Administração Pública Federal e o trabalho, julgado pelo TCU no final de 2008, deu origem ao Acórdão 2.471/2008-Plenário.

Data : 22 de setembro de 2009
Tema : ERM (Enterprise Risk Managment) - duração : 30 minutos
Horário: 18h15 às 18h45 - sala : 3
P 12 - Título: Obtendo a Certificação ISO 27001 em um Data Center
Joel Mana Gonçalves - Gerente do Data Center - Prodesp – Cia . de Processamento de Dados do Estado de São Paulo

Currículo :

Engenheiro eletrônico com ênfase em Suporte de Software, pós graduado em Segurança da Informação, atua há mais de 30 anos na Área de IT. Atualmente é Gerente do Data Center da Prodesp, um dos maiores do Brasil, atendendo aos 41 milhões de habitantes do Estado de São Paulo. Tem proferido várias palestras no Brasil, USA e Europa, baseadas na experiência adquirida à frente do Data Center da Prodesp.

Tópicos dos Assuntos abordados:

• Segurança da Informação;
• Disponibilidade;
• Confidencialidade;
• Integridade;
• ISO 27001;
• Certificação de um Data Center;

Conteúdo:

Este trabalho descreve as etapas para a obtenção de uma certificação ISO 27001 que se refere a um Sistema de Gestão da Segurança da Informação em um Data Center.
Inicialmente, neste trabalho, é realizada uma abordagem teórica sobre os principais conceitos utilizados, e metodologias desenvolvidas. Na seqüência, são apresentados todos os procedimentos necessários para se obter o certificado, com o detalhamento da documentação necessária, o estabelecimento das políticas de segurança, bem como a definição do escopo da Certificação. Como parte final, é detalhada a necessidade de processos de auditoria, em todos os aspectos, para a concessão da referida certificação.
Todo o enfoque e a metodologia apresentada são baseados na experiência obtida durante a participação em um projeto de sucesso desenvolvido em um dos maiores Data Centers do Brasil.

Data : 23 de setembro de 2009
Tema : Case de Sucesso - duração : 30 minutos
Horário: 18h15 às 18h45 - sala : 2
P 23 - Título: Implantação de ferramenta para segregação de funções no ambiente SAP R/3 da PETROBRAS
Alfred John Bacon - Consultor Sênior - Controles Internos de TI - Petrobras - Petróleo Brasileiro AS

Currículo :
Consultor Sênior em Controles Internos de TI e Segurança da Informação na Petrobras, onde trabalha há mais de 14 anos.
Engenheiro Eletrônico pela UFRJ, com MBA em Gestão de e-Business pela FGV
Possui as certificações profissionais CISA e CISM, pela ISACA, e CISSP, pela ISC2
Presidente da ISACA-RJ (ISACA - Capítulo Rio de Janeiro)

Tópicos dos Assuntos abordados:
• O que é e qual a importância da segregação de funções
• Como funciona o processo de autorizações de acesso no ambiente SAP R/3
• Modelos de construção de perfis de acesso para o ambiente SAP R/3
• Visão de riscos e objetivos de controle COBIT para gestão sobre perfis de acesso
• Projeto Petrobras para implantação da ferramenta para gestão sobre segregação de funções
• Dificuldades encontradas no projeto
• Resultados alcançados
• Próximos passos previstos

Conteúdo:
A questão de segregação de funções tem chamado a atenção da alta administração das empresas, assim como dos auditores independentes, principalmente em empresas sujeitas à certificação perante a Lei Sarbanes-Oxley, por conta de fraudes recentes que foram facilitadas pela concentração de autoridade em gestores, por falta de uma adequada segregação. A Petrobras buscou no mercado uma ferramenta para gestão sobre segregação de funções nos perfis de acesso no ambiente SAP R/3, que permitisse uma gestão estruturada e eficiente sobre um universo de cerca de 80.000 usuários, numa das maiores instâncias SAP no mundo. Problemas como definições dos processos e a implantação de normas e procedimentos, a definição de papéis e responsabilidades e o tratamento das transações customizadas serão discutidas. Também serão apresentados alguns dos resultados alcançados com a implantação da ferramenta, além de uma visão da evolução futura prevista.

Data : 23 de setembro de 2009
Tema : ERM (Enterprise Risk Management) - duração : 30 minutos
Horário: 18h15 às 18h45 - sala : 3
P 26 - Título: Como a Segurança da Informação ajuda na Eficiência e na Redução de Custos
Euclides Costa Júnior - Superintendente de Tecnologia - Cardif do Brasil Seguros e Previdência S/A

Currículo :

Euclides Costa Junior
Supertintendente de Tecnologia
Cardif do Brasil Vida e Previdência S/A
MBA em Tecnologia da Informação - FGV
10 anos de Experíência na área de TI
Total de profissionais da área composta de 47 profissionais
Orçamento anual de TI 4 milhões de reais
Empresa Certificada em Segurança da Informação (ISO 27001) em dois de seus processos Atendimento a Clientes e Venda por Telemarketing.

Tópicos dos Assuntos abordados:

• Implementação de Política de Segurança da Informação;
• A Segurança da Informação como diferencial competitivo;
• Como a Segurança da Informação pode ajudar no Controle e Redução de Custos;
• Obtenção de Certificação em Segurança da Informação (ISO 27001);

Conteúdo:
A idéia é a demonstração de um Case realizado por nossa empresa durante os últimos dois anos (2007-2008), que nos levou ao final deste período a obtenção de uma certificação ISO 27001.
E que durante toda a fase do projeto foi possível identificarmos várias oportunidades do aumento da eficiência operacional e de redução de custos. Além da identificação e da alteração positiva nestes dois importantes indicadores o processo de certificação nos trouxe uma redução no número de erros e defeitos em nossos processos considerável, além de ter sido bem usado por nossa área comercial como um diferencial competitivo extramente importante.
Em resumo, a idéia não é utilizar-se do espaço para fazer marketing ou propaganda da implementação em nossa empresa, mas mostrar como uma iniciativa como esta pode trazer “camuflada” em Segurança da Informação, algo geralmente visto como oneroso, a oportunidade para a identificação e obtenção de outros benefícios muito relevantes do ponto de vista estratégico.

Data : 23 de setembro de 2009
Tema : Governança - duração : 30 minutos
Horário: 18h15 às 18h45 - sala : 4
P 29 - Título: O mosaico metodológico na criação de uma governança eficaz na gestão de riscos - um caso de aprendizado pela execução
Júlio Cesar da Silva - Gerente de Qualidade de Serviços e Contr.Internos - Câmara Interbancária de Pagamentos CIP

Currículo :

Pós-Graduado em Gestão de Negócios de TI e em Didática do Ensino Superior. Bacharel em Adm.de Empresas e em Ciência da Computação. Auditor Líder certificado em Segurança da Informação e em CoBIT Foundation. Liderou o processo de certificação ISO27001 na CIP e coordenou projetos de outsourcing de TI de âmbito nacional e internacional. Atualmente é o Compliance da CIP e professor universitário.

Tópicos dos Assuntos abordados:

• O que é a Câmara Interbancária de Pagamentos - CIP;
• Mudanca cultural na obtencao do compromisso das pessoas;
• A evolução da maturidade na aplicação dos modelos metodológicos na CIP;
• A estratégia de convergência dos modelos metodológicos;
• O SGSI da CIP;
• O processo de certificação na ISO27001;
• A continuidade de negócio como pilar para a existência da empresa.

Conteúdo:

A exposição visa demonstrar os benefícios gerados pelo uso e aplicação das melhores práticas ditadas por modelos metodológicos consagrados no mercado como: COSO, Cobit, ITIL além da própria ISO27001, adequando-as para serem eficientes na gestao do negocio extremamente critico da câmara de pagamentos considerada sistemicamente importante no Sistema de Pagamentos Brasileiro - SPB. Em 2008 a Camara processou 1,8 milhoes de transacoes, liquidou R$ 5,4 trilhoes (verificar o numero correto com a Priscila) que equivale a 2,15 PIBs do Brasil, obteve 96% de satisfacao de clientes, mais de 85% de colaboradores satisfeitos e tem hoje a marca de 100% de disponibilidade.