|
Cursos
Data : 22 de setembro de 2009 sala : 1
Modulo : Compliance, Auditoria de TI e Forensics
Horário: 8h30 às 11h00 - duração
: 2h30minutos
C 01 - Título: Combate a Fraudes Corporativas - uma abordagem
prática
Ricardo Mathias Castro - Vice Presidente - ISACA
Currículo :
Auditor Interno no grupo Hamburg-Süd de Logística e Navegação
e Vice-Presidente da ISACA SP.
Tópicos dos Assuntos abordados:
o Investigação de Fraudes Corporativas;
o Ameaças, Vulnerabilidades e Controles;
o Diagnóstico de exposição a Fraudes;
o Apresentação de Pesquisas;
o Apresentação de Casos Reais;
o Panorama Mundial e Brasileiro.
Conteúdo:
Pesquisas nacionais e internacionais apontam que as fraudes corporativas
têm crescido juntamente com a dependência de sistemas informatizados.
Seria essa uma verdade ou apenas um reflexo no aprimoramento dos controles
internos, governança e requisitos legais?
Ainda assim, como se justificam casos como o do Banco Societé Generale,
CISCO e outras empresas envolvidas nos mais recentes escândalos
corporativos?
A apresentação visa mostrar as principais ameaças
presentes na maioria das indústrias e métodos práticos
para que a Auditoria antecipe-se e avalie seu grau de exposição
a diversos tipos de fraudes envolvendo sistemas informatizados.
Data : 22 de setembro de 2009 sala : 2
Horário: 8h30 às 11h00 - duração
: 2h30minutos
C 02 - Título: Auditoria por indicadores de riscos
LUIZ CLAUDIO DIOGO REIS - AUDITOR PLENO - CAIXA ECONÔMICA FEDERAL
Currículo :
Nome: Luiz Claudio Diogo Reis
Cargo: Auditor interno da CAIXA ECONÔMICA FEDERAL com 10 anos de
experiência em auditoria operacional, de sistemas e de TI.
Formação: Matemática, Pós-graduação
em Auditoria Interna e de Sistemas Informatizados e MBA em Gestão
de TI e Negócios Virtuais.
Certificação: CISA - Certified Information System Auditor
e MCSO - Modulo Certified Security Officer.
Tópicos dos Assuntos abordados:
o Diretrizes dos padrões internacionais de auditoria com abordagem
em risco;
o Elementos norteadores da Auditoria Baseada em Riscos (ABR);
o Principais técnicas de análise e avaliação
de riscos;
o Framework para a auditoria de TI;
o Mapeamento e identificação de atividades críticas;
o Estabelecendo indicadores de riscos;
o Matriz de Indicadores de Riscos (MIR) para sistemas de informação:
Um caso prático.
Conteúdo:
As organizações estão vivenciando um ambiente de
mercado dinâmico, competitivo e globalizado, no qual se torna imprescindível
a adoção de medidas capazes de mitigar os riscos dos negócios.
Assim, a alta administração deve estabelecer um processo
de gerenciamento de riscos corporativo eficaz que seja capaz de identificar,
analisar, avaliar e controlar os diferentes eventos que podem impactar
a realização de seus negócios e o atingimento de
seus objetivos estratégicos e, consequentemente, a sua sustentabilidade.
A auditoria, atuando de forma independente, deve ser capaz de avaliar
as diversas etapas do processo de gerenciamento de riscos em função
das necessidades de negócios requeridas. Nesse contexto, apresentamos
um framework de auditoria por indicadores de risco que tem como embasamento
teórico-conceitual os principais padrões internacionais
de auditoria, os elementos norteadores da Auditoria Baseada em Riscos
(ABR) e a utilização de técnicas de análise
e avaliação de riscos que tem o objetivo de identificar
as unidades críticas auditáveis (projetos, sistemas, produtos,
serviços, processos e infraestrutura), tendo como parâmetros
fatores de risco previamente estabelecidos em função da
criticidade dos negócios.
Dessa forma, a auditoria, a partir de uma abordagem inovadora, pode auxiliar
a organização no cumprimento da sua missão, priorizando
a sua atuação em atividades críticas.
Data : 22 de setembro de 2009 sala : 3
Modulo : ERM (Enterprise Risk Management)
Horário: 8h30 às 11h00 - duração
: 2h30minutos
C 03 Título: A Nova Polêmica da Era Digital: Como
aplicar o Direito à Tecnologia?
Camilla do Vale Jimene - advogada - Opice Blum Advogados Associados
Currículo :
Advogada Associada à Opice Blum Advogados, atuante na área
cível, criminal e trabalhista, com enfoque nos meios eletrônicos
e Internet. Pós-graduada em Processo Civil pela PUC/SP. Professora
de Pós-Gradução da Unigran e de graduação
da UNIP. Desenvolveu estudos acerca das normas técnicas ISO.
Tópicos dos Assuntos abordados:
o Legislação aplicável em âmbito cível
e criminal;
o Impacto do Direito do Trabalho nas políticas de segurança;
o Há privacidade nos meios eletrônicos?;
o Validade jurídica do monitoramento dos sistemas eletrônicos:
quando o fraudador é o empregado;
o Como coletar a prova digital sem afetar sua integridade?;
o A validade jurídica dos contratos eletrônicos;
o Tendências Jurisprudenciais Nacionais e Internacionais.
Conteúdo:
Apresentação tem por finalidade esclarecer os aspectos jurídicos
aplicáveis às questões tecnológicas, de forma
abrangente, clara e precisa, com enfoque na legislação cível,
criminal e trabalhista, especialmente, os reflexos jurídicos gerados
por condutas cotidianas.
Orientações acerca de coleta e produção de
prova eletrônica, buscando proteger a companhia em caso de demandas
judiciais, e até mesmo, gerar indícios de investigação
para fraudes internas e externas.
Discussão acerca dos aspectos mais polêmicos do Direito Eletrônico,
com exemplos práticos, faz com que o profissional ao final da apresentação
tenha condições de formar suas próprias convicções.
Data : 22 de setembro de 2009 sala : 4
Modulo: Governança
Horário: 8h30 às 11h00 - duração
: 2h30minutos
C 04 - Título: Elaboração de Plano Estratégico
de TI
Laurence Liu - Gerente Senior - Deloitte
Currículo :
Laurence Liu
Gerente Consultoria Empresarial
Experiência Profissional
Dezoito anos de experiência na área de estratégia,
tecnologia da informação, e processos, nos quais vêm
executando trabalhos voltados à implementação de
melhores práticas de gestão de desempenho, riscos e governança
de TI.
• Atuação em empresas de serviços, software
e consultoria de TI como XCorp, Tivit, EDS e Teletech.
• Condução de projetos de Balance Scorecard, Gestão
de Desempenho, Continuidade de Negócios, Segurança da Informação,
Gestão de Infra Estrutura (ITIL), Sarbanes Oxley, Certificação
ISO 9001:2000, diagnóstico COBIT, Centro de Serviços Compartilhados
e Merge & Acquisition.
Alguns Clientes Atendidos
Petrobrás, Energias do Brasil, Grupo Abril, Baxter, Syngenta, Pepsico
do Brasil, CVRD, Tivit, Votorantim, Banco do Brasil, Unibanco, AES, Grupo
Accor.
Formação Profissional
Graduação: Administração de Empresas Fundação
Getúlio Vargas – Bacharel em Administração
Publica – 1985
Pós-Graduação: Fundação Getúlio
Vargas – Mestrado Stritus Sensus – 1998
Associações Profissionais e Órgãos de Classe
Membro do ISACA-SP
Conselho Regional dos Adminstradores de SP
Tópicos dos Assuntos abordados:
o Desafios do CIO;
o Abordagem Metodologica;
o Governança;
o Gestão de Portfólio;
o Arquitetura;
o Processos;
o Estrutura Organizacional.
Conteúdo:
Esta atividade tem o objetivo de descrever uma abordagem pragmática
das atividades para a elaboração de um plano estratégico
de TI que permita ao CIO um maior alinhamento com o comite executivo e
as área de negócios. Esta abordagem analisa cinco dimensões:
o posicionamento da TI e o modelo de governaça; a análise
do portfólio atual e futuro dos projetos de TI; a adequação
da arquitetura tecnológica como fator viabilizador do posicionamento
da TI; a análise das capacitações (processos) de
entrega e suporte da TI; e a importância de uma estrutura organizacional
alinhado ao novo posicionamento estratégico da TI.
Data : 23 de setembro de 2009 sala : 1
Modulo : Compliance, Auditoria de TI e Forensics
Horário: 8h30 às 11h00 - duração
: 2h30minutos
C 19 - Título: Auditoria de Governança e Terceirização
de TI na Administração Pública Federal
Renato Braga, CISA - Diretor - Tribunal Contas da União - TCU
Currículo:
Renato Braga, CISA
Auditor Federal de Controle Externo do TCU desde 2003.
Atualmente exerce a função de Diretor na Secretaria de Fiscalização
de Tecnologia da Informação - Sefti/TCU. Antes do TCU, atuou
profissionalmente como Oficial do Quadro de Engenheiros Militares do Exército
Brasileiro (1992-2002), onde atingiu o posto de Capitão e executava
atividades típicas de Engenharia de Computação. É
Certified Information Systems Auditor (CISA®) pela ISACA® (2007),
especialista em Contabilidade e Orçamento Público pela Universidade
de Brasília (2006-2007), e graduado em Engenharia de Computação
pelo Instituto Militar de Engenharia (1988-1992). É instrutor do
Instituto Serzedello Correa do TCU desde 2006 nos Programas de Formação
de Analistas do TCU. Foi professor das disciplinas de sistemas operacionais
e arquitetura de computadores em diversas universidades de Brasília
e do Rio de Janeiro. Conferencista dos principais Congressos Nacionais
(Cnasi - 2007/2008; Conbrai - 2008) e Latino-Americanos (Latin América
Cacs – 2008; Clai - 2009) na área de Controle e Segurança
de TI. Artigos Publicados na Revista do TCU. É diretor de educação
do Capítulo ISACA® Brasília.
Tópicos dos Assuntos abordados:
• Antecedentes e origem
• Abordagem da Sefti
• Relevância do tema
• Objetivos e escopo da auditoria Alguns números
• Principais resultados da avaliação
• Causas potenciais e Propostas de encaminhamento
Conteúdo:
A relação entre terceirização e governança
de TI é estreita: sem o nível adequado de governança
não há como garantir que a terceirização produzirá
os resultados esperados. Nesta sessão apresentaremos a experiência
do TCU na avaliação de terceirização e governança
de TI em entes da Administração Pública Federal (APF).
O trabalho foi realizado no último quadrimestre de 2007, e o objetivo
foi avaliar a terceirização no setor de TI dos entes da
APF selecionados, em especial a adequação da estrutura da
unidade e seus processos de aquisição e gestão de
serviços terceirizados. Foram avaliadas 12 organizações
da Administração Pública Federal e o trabalho, julgado
pelo TCU no final de 2008, deu origem ao Acórdão 2.471/2008-Plenário.
Data : 23 de setembro de 2009 sala : 2
Modulo : Compliance, Auditoria de TI e Forensics
Horário: 8h30 às 11h00 - duração
: 2h30minutos
C 05 - Título: Melhores Práticas para uso de Provas
Eletrônicas e tendências da Justiça Brasileira
Patricia Peck - Sócia-Adogada - PPP Advogados
Currículo :
A Dra. Patrícia Peck é advogada especialista em Direito
Digital, formada pela Universidade de São Paulo, com especialização
pela Harvard Business School e MBA em marketing pela Madia Marketing School.
É autora a do "Direito Digital" pela Editora Saraiva,
além de participação nos livros e-Dicas e Internet
Legal. É colunista do IDG Now e articulista da Gazeta Mercantil,
Valor Econômico, DCI, O Globo, Revista Executivos Financeiros, Info
Exame, Info Corporate, About, Revista do Anunciante, outros.
Iniciou sua carreira como programadora aos 13 anos, possui experiência
internacional nos EUA, Portugal e Coréia com Direito e Tecnologia.
É professora da pós-graduação da FAAP, já
participou da implementação de Políticas de Segurança
da Informação em diversas empresas.
Conteúdo:
Somos dependentes de ENERGIA, TELCOMUNICAÇÕES E
TECNOLOGIA?
Precisamos estar online, conectados, na Internet?
Precisamos de sistemas e softwares para realizar nossas atividades?
Fazemos uso de email, celular, pendrive, computador?
Nosso patrimônio está em dados (dinheiro é um dado
eletrônico)?
Nossa reputação já é digital (está
na web em redes sociais)?
Contratamos serviços e compramos produtos por vias eletrônicas?
Temos as senhas como identidades (autenticação não
presencial)?
Data : 23 de setembro de 2009 sala : 3
Módulo : ERM (Enterprise Risk Management)
Horário: 8h30 às 11h00 - duração
: 2h30minutos
C 06 - Título: Segurança em Desenvolvimento de Sistemas
Alfred John Bacon - Consultor Sênior - Controles Internos de TI
- Petrobras - Petroleo Brasileiro SA
Currículo :
Consultor Sênior em Controles Internos de TI e Segurança
da Informação na Petrobras, onde trabalha há mais
de 14 anos
Engenheiro Eletrônico pela UFRJ, com MBA em Gestão de e-Business
pela FGV
Possui as certificações profissionais CISA e CISM, pela
ISACA, e CISSP, pela ISC2
Presidente da ISACA-RJ (ISACA - Capítulo Rio de Janeiro)
Tópicos dos Assuntos abordados:
o Normas e Metodologias aplicáveis;
o SDLC e etapas em que a Segurança precisa ser contemplada;
o Análise de Riscos em Sistemas;
o Autenticação e Autorização em Sistemas;
o Algumas recomendações práticas para evitar falhas
comuns em sistemas;
o Ferramentas de Análise de Código;
o As origens da Norma ISO15.408 e sua aplicabilidade geral.
Conteúdo:
O Curso apresenta o problema da gestão de segurança no desenvolvimento
de sistemas de informação, apresentando recomendações
sobre o ambiente de desenvolvimento e práticas de desenvolvimento
seguro. O SDLC (Software Development Life Cycle) é apresentado,
com indicações da interação entre as áreas
de desenvolvimento e segurança da informação. A questão
de autenticação e autorização em sistemas
de informação é abordada, com indicação
de melhores práticas que devem ser seguidas. Uma metodologia para
a análise de riscos no desenvolvimento de sistemas é apresentada,
assim como recomendações práticas para evitar os
problemas mais comuns encontrados em sistemas de informação.
A Norma ISO 15.408 e sua terminologia específica é explicada,
assim como sua aplicabilidade geral no Brasil.
Data : 23 de setembro de 2009 sala : 5
Módulo : Governança
Horário: 8h30 às 11h00 - duração
: 2h30minutos
C 08 - Título: TI falando a linguagem de Negócios
(Indicadores que fazem sentido aos Executivos)
Alberto Fávero - Partner - Ernst & Young
Currículo :
Alberto Fávero, CISSP, CISM, CISA
Matemático pela FSA-SP e Pós-graduado em Administração
de Empresas e Marketing pela FGV-SP. Profissional de Segurança
da Informação certificado pelos institutos (ISC)2 e ISACA®
como CISSP, CISM e CISA. Possui certificação em ITIL Foundations
pelo Instituto Exin e Cobit Foundations pela ISACA ®. Sócio
da Ernst & Young no Brasil.
Tópicos dos Assuntos abordados:
o Alinhamento de TI ao negócio da empresa;
o Gestão de serviços TI e de qualidade entregue por TI ao
negócio da empresa;
o Governança de TI;
o KGI e KPI de TI;
o Otimização de custos de TI;
Conteúdo:
Os homens de negócios não entendem porque TI tem tanta dificuldade
em atender às suas demandas. Os homens de TI não conseguem
entender porque a gestão da organização não
aprova os seus projetos. Cada um de seu lado critica e desaprova a atuação
da outra parte. Uma boa governança de TI tem que resolver esse
problema através do alinhamento das expectativas de cada parte
e prover a comunicação bi-direcional para que as demandas
sejam claramente compreendidas, apoiadas e entregues num nível
superior de realização, promovendo uma vantagem competitiva
para a organização através do serviço prestado
por TI.
Data : 24 de setembro de 2009 sala : 1
Módulo : ERM ( Enterprise Risk Management)
Horário: 8h30 às 11h00 - duração
: 2h30minutos
C 09 - Título: Visão Geral na Norma ISO 27001
Eliana (Ellie) Borges - Diretora Presidente - GlobalStand Sistemas de
Gestão e Tecnologia da Inf
Currículo :
Foi a fundadora e Diretora Presidente da BSi Brasil (BSI) de 01/1999
a 12/2004. Tem uma sólida experiência nacional e internacional
executiva, nos últimos doze anos, na área de Certificação
de Sistemas de Gestão. Antes de unir-se à BSi, foi Diretora
Presidente da Filial da GlobalStand Corporation, na California, USA. Possue
dois MBAs: Gestão -Golden Gate University USA e FGV Gestão
Estrat Tec Info
Tópicos dos Assuntos abordados:
o Histórico da Norma;
o Requisitos da Norma;
o Processo de Implementação;
Conteúdo:
o O que é Segurança da Informação
o Introdução a ABNT NBR ISO/IEC 27002:2008 (17799:2005)
- Histórico
o Benefícios da implementação de um Sistema de Segurança
da Informação
o Custos e Recursos necessários para a Implementação
de um SGSI
o Controles de Segurança da Informação
o O Processo de Implementação e Certificação
Data : 24 de setembro de 2009 sala : 2
Modulo : ERM (Enterprise Risk Management)
Horário: 8h30 às 11h00 - duração
: 2h30minutos
C 10 - Título: Gestão de Riscos Operacionais e de
Segurança da Informação nos serviços de Terceirização
em TI
Mário Sérgio Ribeiro - Diretor - Enigma Security
Currículo :
Mário Sérgio Ribeiro, 49 anos, engenheiro, especialista
em Segurança da Informação e Governança de
TI, tendo 24 anos de experiência na área. Foi CSO do Grupo
Pão de Açucar e teve passagens pela ITAU SA, Alpargatas
e CPM Braxis.
É professor do MBA da FIA/USP. Foi um dos idealizadores e docente
da pós graduação em segurança da informação
do IPEN/USP. Foi diretor de educação da ISACA por 3 anos.
Conteúdo:
o Definir Terceirização
o Razões para se terceirizar
o O que pode ser terceirizado
o Modelos de entrega
o Porque muitas terceirizações falham
o A implementação da gestão de riscos (antes e durante
o contrato)
o Conclusões finais.
Data : 24 de setembro de 2009 sala : 3
Módulo : Governança
Horário: 8h30 às 11h00 - duração
: 2h30minutos
C 11 - Título: Multisourcing em tempos de Cloud Computing
Marcello Cardoso da Motta - Global Service Delivery
Manager - IBM do Brasil
Currículo :
Global Service Delivery Manager, responsável pela gestão de serviços
em contas de grande porte, abrangendo todos os projetos e processos com
times de entrega de serviços na Índia, Estados Unidos, Austrália,
Europa e Brasil.
• Possui 15 anos de experiência na gestão de projetos
e serviços baseado nas melhores práticas de gestão
como ITIL, Cobit e PMI.
• Atua como instrutor interno e externo tendo preparado cerca de
3.000 profissionais no mercado em conceitos de Service Management, e certificado
como Instrutor pelo Exin em treinamentos de ITIL Service Management Service
Support, Delivery e foundations v2 e v3.
• Atuou previamente como Gerente de Projeto e consultor de processos
em diversos projetos de Transição de serviços para
clientes de grande porte e projetos de otimização, tais
como Global ITIL Conformance Project, Lean Sigma Solution Development
Cycle, implementação do WorldWide Project Management 7 keys.
• Certificado ITIL Service Manager v2, v3, PMP, CISSP, CISM, CISA,
.
Conteúdo:
Na medida em que o Cloud Computing emerge como uma tendência, grandes
mudanças nos serviços de TI são iminentes. Diversas
empresas tem anunciado novas visões e estratégias para a
operação de seus serviços.
Neste cenário, a complexidade de gestão e quantidade de
opções de sourcing aumenta, na medida em que tais alternativas
se somam a maneiras tradicionais de contratação de serviços.
Para obter valor sustentável destas novas opções,
diversas organizações deverão atualizar suas competências
ligadas a gestão de serviços e fornecedores.
Novas competências e ferramentas estarão permitindo as organizações
a integração com opções tradicionais de sourcing
de uma maneira prática e benéfica para suas operações.
Data : 24 de setembro de 2009 sala : 4
Modulo : Governança
Horário: 8h30 às 11h00 - duração
: 2h30minutos
C 12 - Título: O que todo CISO deveria saber sobre Cloud
Computing
Marcelo Pereira Moreira de Carvalho - Global Security Architect Leader
- Multinacional do Setor Financeiro - FortuneTop 500
Currículo :
Certificado CISSP, CISM, CEH, CHFI, atualmente Global Security Architect
Leader em multinacional da Fortune 500. Formado em Ciência da Computação,
15 anos de experiência em segurança, tendo atuado por vários
anos como CISO. Experiência em: ERM, Penetration Test, Data Leakage
Prevention, Incident Response e Forensics. Liderando iniciativas em +
de 45 países e 4 anos de experiência internacional.
Tópicos dos Assuntos abordados:
• O que é Cloud Computing?
• Qual o modelo de negocio e o que o torna interessante?
• Quais os tipos de serviços oferecidos?
• Cloud Computing e Virtualização.
• Semelhanças e diferenças
• Private vs Public vs Hybryd Clouds
• Quais os Riscos e desafios inerentes?
• E agora, como mapear vulnerabilidades e responder a incidentes?
Conteúdo:
Objetivo: A idéia geral é informar os conceitos
de Cloud Computing, elucidar as diferenças com outros temas relacionados
e alertar sobre as possíveis áreas de preocupação
que um CISO deve ter em relação a isso. Pretendo abordar
o assunto tentando responder `as seguintes perguntas:
O que é Cloud Computing?
Qual é o modelo de negocio e o que o torna tão interessante?
Quais os tipos de Serviços oferecidos? Explicarei os conceitos
dos tipos de serviços e a diferença entre eles (SaaS, PaaS
e IaaS)
Quais as semelhanças e diferenças entre Cloud Computing
e Virtualização?
Private X Public X Hybrid Clouds - Explicarei as diferenças entre
Private, Public e Hybrid Clouds.
Quais são os Riscos e Desafios inerentes? Aqui exponho os riscos
de segurança de informação existentes em Cloud Computing
na visão de um CISO.
E agora como mapear as vulnerabilidades e responder a incidentes no ambiente
de Cloud?
Como funciona o Cloud Computing em termos de conformidade com regulamentação
, leis de privacidade?
Qual é a chave da gestão de risco nesse tipo ambiente?
O que o future nos reserva no campo de Cloud Computing?
Onde encontrar mais informações?
|
Home 
