frank meylan sócio kpmg são paulo, sp 20 de maio de 2008 conselho regional de administração de...

Frank MeylanSócio KPMG

São Paulo, SP20 de maio de 2008

Frank MeylanSócio KPMG

São Paulo, SP20 de maio de 2008

Conselho Regional de Conselho Regional de Administração de São PauloAdministração de São Paulo

Fraudes e Governança em TIFraudes e Governança em TI

© 2008 KPMG International. KPMG International is a Swiss cooperative of which all KPMG firms are members. KPMG International provides no services to clients. Each member firm is a separate and independent legal entity and each describes itself as such. All rights reserved.

© 2008 KPMG International. KPMG International is a Swiss cooperative of which all KPMG firms are members. KPMG International provides no services to clients. Each member firm is a separate and independent legal entity and each describes itself as such. All rights reserved. 2

Currículo do PainelistaCurrículo do Painelista

NomeNome

XXXXXX

Frank MeylanFrank Meylan

Sócio – KPMG Risk Advisory Services Sócio – KPMG Risk Advisory Services

QualificaçõesQualificações

Frank é formado em Ciências da Computação pelo Instituto de Matemática Frank é formado em Ciências da Computação pelo Instituto de Matemática e Estatística da Universidade de São Paulo - IME – USPe Estatística da Universidade de São Paulo - IME – USP

Possui Mestrado e Doutorado pela Escola Politécnica da Universidade de Possui Mestrado e Doutorado pela Escola Politécnica da Universidade de São Paulo em redes de computadores e segurança da informação.São Paulo em redes de computadores e segurança da informação.

Obteve a certificação GIAC Certified Firewall Analyst pelo SANS Institute.Obteve a certificação GIAC Certified Firewall Analyst pelo SANS Institute.

Ministrou as disciplinas de Estruturação da Área de Segurança e Redes Ministrou as disciplinas de Estruturação da Área de Segurança e Redes TCP/IP nos programas de mestrado do IPEN (Instituto de Pesquisas TCP/IP nos programas de mestrado do IPEN (Instituto de Pesquisas Energéticas e Nucleares) e IPT (Instituto de Pesquisas Tecnológicas), Energéticas e Nucleares) e IPT (Instituto de Pesquisas Tecnológicas), respectivamente. Além disso, é responsável pela orientação de respectivamente. Além disso, é responsável pela orientação de dissertações de mestrados de diversos alunos.dissertações de mestrados de diversos alunos.


Governança e Fraudes em TIGovernança e Fraudes em TIGovernança e Fraudes em TIGovernança e Fraudes em TI


ConteúdoConteúdo

As ameaças de incidentes e fraudes em TIAs ameaças de incidentes e fraudes em TI

Ameaças externas – fraudes em aplicações WebAmeaças externas – fraudes em aplicações Web

Ameaças internas – principais causas de fraudes em sistemas Ameaças internas – principais causas de fraudes em sistemas corporativoscorporativos

As fraudes em TI podem ser evitadas ?As fraudes em TI podem ser evitadas ?

Aprimorando a Governança de TIAprimorando a Governança de TI


As ameaças de Incidentes e Fraudes em TIAs ameaças de Incidentes e Fraudes em TI

As fraudes em TI podem ocorrer de diferentes formas, As fraudes em TI podem ocorrer de diferentes formas, dependendo da atuação da empresa e de sua dependendo da atuação da empresa e de sua dependência tecnológica:dependência tecnológica:

Fraudes Internas:Fraudes Internas: fraudes cometidas por funcionários fraudes cometidas por funcionários ou colaboradores que possuem acesso às instalações ou colaboradores que possuem acesso às instalações da companhia.da companhia.

Fraudes ExternasFraudes Externas: fraudes executadas por pessoas : fraudes executadas por pessoas externas à companhia, porém utilizando recursos externas à companhia, porém utilizando recursos computacionais dela.computacionais dela.


Ameaças Externas – Fraudes em Aplicações WebAmeaças Externas – Fraudes em Aplicações Web

Atualmente podemos dividir as aplicações Web em duas Atualmente podemos dividir as aplicações Web em duas categorias:categorias:

InternosInternosERP, aplicações específicas, etc.ERP, aplicações específicas, etc.

Autenticação de usuários baseada em usuário e senhaAutenticação de usuários baseada em usuário e senha

Abrangência limitada aos funcionários internosAbrangência limitada aos funcionários internos

Servidores e estações protegidos pela política de segurança Servidores e estações protegidos pela política de segurança corporativacorporativa

ExternosExternosAplicações voltadas a clientes, fornecedores e parceiros externosAplicações voltadas a clientes, fornecedores e parceiros externos

Grande abrangência de utilizaçãoGrande abrangência de utilização

Ambiente de comunicação inseguro (Internet)Ambiente de comunicação inseguro (Internet)


Fraudes em Aplicações WebFraudes em Aplicações Web

As aplicações Web voltadas a Internet despertam maior interesse As aplicações Web voltadas a Internet despertam maior interesse sob a perspectiva de segurançasob a perspectiva de segurança

A maioria dos sistemas de comércio eletrônico operados por A maioria dos sistemas de comércio eletrônico operados por meio da Internet ainda são baseados em:meio da Internet ainda são baseados em:

SSL (SSL (Secure Socket LayerSecure Socket Layer) com autenticação apenas do servidor) com autenticação apenas do servidorAutenticação do cliente com Autenticação do cliente com login/senhalogin/senha

Entre estes sistemas destacam-se:Entre estes sistemas destacam-se:Internet BankingInternet BankingLojas VirtuaisLojas VirtuaisAplicações Governamentais (e-Gov)Aplicações Governamentais (e-Gov)Aplicações Médicas (resultados de exames laboratoriais)Aplicações Médicas (resultados de exames laboratoriais)



Breve histórico dos principais ataques e correspondentes Breve histórico dos principais ataques e correspondentes mecanismos de segurança desenvolvidosmecanismos de segurança desenvolvidos

Surgimento das

Aplicações Web

Utilização de criptografia

e certificação digital

(HTTPS)

Ataques de capturadores

de teclado

Utilização do

Teclado VirtualIncentivar o uso de:

Anti-vírus

Personal Firewall

Anti-trojan

Ataques de “DLL Hook”



Breve histórico dos principais ataques e correspondentes Breve histórico dos principais ataques e correspondentes mecanismos de segurança desenvolvidos (cont.)mecanismos de segurança desenvolvidos (cont.)

Ataques de sites

clonados

Confirmação do

Titular da conta

Incorporação de novas

tecnologias nos portais

Digital Brand Management

Verificação de servidores DNS dos provedores

de acesso a Internet

Rápida atuação com os

provedores de Backbone brasileiros

Envio de e-mails falsificados,

requisitando dados pessoais

“Phishing”




Utilização de teclados virtuais

dinâmicos

Ataques de capturadores de

imagens (snapshots)

Ataques de intermediação

(Man in the middle)

Teclados Virtuais com efeitos imã e desaparecimento

Ataques de memory dump




Criptografia na

Aplicação Web

“Autenticação” da localização

do acesso e estação utilizada

FFIEC exige autenticação

Multi-factor




Implementação de

Certificação Digital para:

Aplicações B2B

Internet Banking Empresas

Desafio: certificação digital

dos clientes “Pessoa Física”

Autenticação da origem

do acesso do cliente

Desafio: autenticação

dos clientes a partir de dispositivos

móveis (celular, palm, etc)


Ameaças InternasAmeaças Internas

Motivadores das Fraudes InternasMotivadores das Fraudes Internas

Atingir metas

Pressõesfinanceiras

Desafio

Oportunidade

Manipular pagamentos

ou bônus

Estilo de vida

Fraude por quê?

Encobrir erros

Assegurar emprego


Ameaças InternasAmeaças Internas

-

Risco

s de

negóci

o

Riscos estruturais Risco

s cu

ltura

is

Riscos pessoais

Perfil do Perfil do risco derisco defraudefraude

• Estilo autocrático• Desproporção de status e

personalidade• Comportamento incomum• Atos ilegais• Estilos de vida caros• Férias não gozadas• Staff de baixa

educação/formação

• Estratégia de negócio deficiente

• Lucros acima da média do setor industrial

• Desproporção entre o crescimento e o desenvolvimento de sistemas

• Reputação deficiente

• Problemas de liquidez

• Moral baixa• Alto “turnover” de staff• Remuneração ligada à

performance

• Estruturas complexas

• Filiais/subsidiárias distantes com baixa supervisão

• Resultados a qualquer custo

• Compromisso insatisfatório para controle

• Inexistência de um código de ética

• Obediência não questionável do staff


Principais causas de fraudes nos Sistemas CorporativosPrincipais causas de fraudes nos Sistemas Corporativos

Do ponto de vista de segurança, destacam-se como Do ponto de vista de segurança, destacam-se como principais vulnerabilidades que afetam os sistemas:principais vulnerabilidades que afetam os sistemas:

Gerenciamento falho de usuáriosGerenciamento falho de usuários

Gestão inadequada de perfis de acessoGestão inadequada de perfis de acesso

Interfaces entre sistemas insegurasInterfaces entre sistemas inseguras



Gerenciamento falho de usuários (descentralizado)Gerenciamento falho de usuários (descentralizado)

Security Server• Valicert• Verisign• IIS• RSA

IdentityServer• Oblix• Netegrity• Securant

Directory• iPlanet• eDirectory• Active Directory

eCommerce• Ariba• Commerce One

Sales / Mktg• Siebel• Epiphany

eFinance• Hyperion• Extensity

Portals• Plumtree• Epicentric• Corechange

Others• Bowstreet• . . .

Web Resources

ERP• SAP, Peoplesoft, Baan

Financials• Oracle, M&D

Sales / Marketing• Siebel

Mainframe• RACF, ACF2, Topsecret

Procurement• Marcam

Distribution• i2

HR• Peoplesoft

Email• Exchange, Notes

Telephony• Octel

Network• Netware, NT

Facilities• typically custom

Asset Management• J.D.Edwards

Business

Corporate

Traditional Applications

Employees

Contractors

Customers

Partners

Suppliers

* * * Company Names For Illustrative Purposes Only * * *

Web Server• iPlanet• Microsoft• Apache

Web Browser• Netscape• IE

Web Infrastructure

EnterpriseApplicationIntegration•WebMethods•TIBCO



Gerenciamento falho de usuários (descentralizado)Gerenciamento falho de usuários (descentralizado)

1,000+ usuários100+

aplicações

100,000+ funções

possíveis

System administrators

Outstanding audit issues

Sarbanes-Oxley

Business managers

Short user life cycles

Immediate access requirements

Segregation of duties

Employees

Suppliers

Clients

Third parties

SAPPeopleSoft

WindowsEmployee self service

Consolidation

Security administrators

Mainframe

SSO

Provisioning

Data protection acts

Basel II

Privacy legislation

Mergers and acquisitions



Gerenciamento falho de usuários (cont.)Gerenciamento falho de usuários (cont.)

Como consequências, temos:Como consequências, temos:

Usuários demitidos com acesso a sistemasUsuários demitidos com acesso a sistemas

Usuários ativos acumulando acessos ao Usuários ativos acumulando acessos ao

longo da carreira na empresalongo da carreira na empresa

Falta de padronização nas políticas de Falta de padronização nas políticas de

segurança de acesso aos sistemassegurança de acesso aos sistemas

1. User Services

Group

Application entity

Organizational person

Certificate Template

gapInc

com

admin john doe jane doestockOptionsUsers

fimaUserseDiscountUsers

administratorsgroups people

oblixsiteMinder

applications

LDAP

LDAP

LDAP

2. Application Services

3. Infrastructure Services

DB

OOD

Domain

RolesPersonnel

PhonebookSecurity

Intranet

PKI

E-MailExtranet



Recomendação: gerenciamento centralizado de Recomendação: gerenciamento centralizado de usuáriosusuários

Appls OnlineFiliais Parceiros

NT 4.0 / W2K

Base de UsuáriosPrincipal

Security Office

E-mail

ERP

Web



Gestão inadequada dos perfis de acessoGestão inadequada dos perfis de acesso

Os perfis de acesso definem nos sistemas “quem pode fazer o que”.Os perfis de acesso definem nos sistemas “quem pode fazer o que”.

Ao longo da carreira do funcionário nas empresas, ele sofre Ao longo da carreira do funcionário nas empresas, ele sofre modificações no seu perfil de acesso de acordo com a sua função.modificações no seu perfil de acesso de acordo com a sua função.

Estas modificações podem ser:Estas modificações podem ser:

Horizontais; ouHorizontais; ou

Verticais.Verticais.

Consultor

Coordenador

Gerente



Gestão inadequada dos perfis de acessoGestão inadequada dos perfis de acesso

Para tornar a gestão ainda mais complexa, existem diferentes tipos de Para tornar a gestão ainda mais complexa, existem diferentes tipos de colaboradores:colaboradores:

FuncionáriosFuncionários

Terceiros de longa duração Terceiros de longa duração (processos)(processos)

Terceiros de curta duração Terceiros de curta duração (projetos)(projetos)

FornecedoresFornecedores

ClientesClientes

O grande desafio para a área de segurança de informação é:O grande desafio para a área de segurança de informação é:

Agrupar cada tipo de colaboradorAgrupar cada tipo de colaborador

Definir e aplicar a política de segurançaDefinir e aplicar a política de segurança

Definir os perfis em conjunto com as áreas de negócio, respeitando a políticaDefinir os perfis em conjunto com as áreas de negócio, respeitando a política

Implantar um processo de manutenção e monitoração dos perfisImplantar um processo de manutenção e monitoração dos perfis



Gestão inadequada dos perfis de acessoGestão inadequada dos perfis de acessoDo ponto de vista de processos, muitas falhas ocorrem devido à falta de Do ponto de vista de processos, muitas falhas ocorrem devido à falta de padronização nas requisições de cadastramento e alteração de perfil de padronização nas requisições de cadastramento e alteração de perfil de acessoacesso

Nem sempre o processo está centralizado em áreas específicas, por Nem sempre o processo está centralizado em áreas específicas, por exemplo o RH e Security Officeexemplo o RH e Security Office

RHGestor da

áreaÁrea de

SegurançaSuporte

TI

FuncionárioContrataçãoDemissãoPromoção

Perfil de AcessoCriaçãoRemoçãoAlteração



Compliance

• Habilidade de registrar em tempo real os logs de segurança

• Monitorar os acessos

• Relatórios de auditoria

Provisionamento

• Criação da conta e de serviços personalizados

• Workflow de aprovação

Autenticação

• Validar a identidade do usuário

• Determinar o papel do usuário

• Single Sign-on

Autorização

• Estabelecer e monitorar os acessos dos usuários, incluindo segregação de funções

• Procedimentos para tratamento, processamento e acesso a informações privadas

• Controles para identificação de brechas

Self-Service

• Usuários podem resolver algumas rotinas administrativas

• Atualização das informações dos usuários são sincronizadas nos sistemas

Gerenciamento de senhas

• Regras de senha estabelecidas e obrigatórias

• Procedimentos para criação, gerenciamento e alteração das senhas dos usuários

• Reset de senha utilizando Self-service

Remoção

• Controles automatizados para identificar e remover o acesso de aplicativos e sistemas

Identity Lifecycle

New project

Change locations, roles, etc

Forget password

Início do relacionamento

Fim do relacionamento

Novos

projetos

Mudanças de localidade, papéis, etc

Esquecimento de senha



Interfaces entre sistemas insegurasInterfaces entre sistemas inseguras

Estudo de Caso: Fraude na folha de pagamentoEstudo de Caso: Fraude na folha de pagamento

Atualmente é muito comum a integração de sistemas distribuídos Atualmente é muito comum a integração de sistemas distribuídos por meio da troca de arquivos no “formato texto” (ASCII);por meio da troca de arquivos no “formato texto” (ASCII);

Exporta arquivotexto

Importa arquivotexto

Sistema 1 Sistema 2

Arquivo é armazenado em um sistema de arquivosOu transportado em uma mídia



Estudo de Caso: Interfaces entre sistemas dependente de Estudo de Caso: Interfaces entre sistemas dependente de intervenção manualintervenção manual

Sistema de RH

Gera arquivo TXTFolha de Pagamento

Estação de acesso aoInternet Banking

Banco



Estudo de Caso: Interfaces entre sistemas dependente de Estudo de Caso: Interfaces entre sistemas dependente de intervenção manualintervenção manual

Sistema de RH



Banco

Inclusão de novas contascom valores associados

Remoção deBenefícios de funcionários

afastados



Estudo de Caso: Interfaces entre sistemas permitindo Estudo de Caso: Interfaces entre sistemas permitindo intervenção manualintervenção manual

Sistema de RH



Banco

Inclusão de novas contascom valores associados

Remoção deBenefícios de funcionários

afastados

Como os valores totais eram mantidos, a empresa não detectavaA fraude



Interface entre SistemasInterface entre Sistemas

Interfaces VulneráveisInterfaces Vulneráveis

Interfaces manuais

Arquivos texto de fácil edição

Arquivos armazenados em servidores sem controle de acesso

Sem campos de controle

Interfaces SegurasInterfaces Seguras

Interfaces automatizadas

Transferências on-line

Controle de integridade na importaçãoProcesso de conciliação

Controle de erros


Dispositivos Portáteis

Redefinição do Perímetro da Rede Corporativa

Dispositivos Portáteis

Redefinição do Perímetro da Rede Corporativa


Redefinição do Perímetro da RedeRedefinição do Perímetro da Rede

Situação tradicional

Situação emergente

Diversas tecnologias atuando

simultaneamente

Dinâmica

Notebooks, Tablets, Palms, Celulares

Específicos de cada equipamento e SO

Rede Corporativa

Estações

Softwares

Instalados

Tecnologia única para cada segmento

Mapeada e estática

Padronizadas

Inventariados e controlados



Internet

Firewall

Rede Corporativa

Mail Server WWW Server

DMZ - Internet

Firewall

WWW Server

DMZ - Terceiros

Firewall

Controle IDS

SQL ServerRede deTerceiros

Security Office

Anti-Vírus

Server

Server Farm

OS 390 Oracle HP-UX Win2K Solaris

Firewall

Visão Tradicional

Manutenção remota



Desafios da segurança da rede corporativa:Desafios da segurança da rede corporativa:

Disseminação do uso de Notebooks;Disseminação do uso de Notebooks;

Implantação de redes wireless;Implantação de redes wireless;

Utilização de Palms, celulares;Utilização de Palms, celulares;

Gravadores de CD-ROM e DVD;Gravadores de CD-ROM e DVD;

Dispositivos externos via porta USB:Dispositivos externos via porta USB:Tokens de memória (Pen drive);Tokens de memória (Pen drive);

Tokens wireless;Tokens wireless;



Como lidar com os novos equipamentos portáteis Como lidar com os novos equipamentos portáteis disponíveis no mercado ?disponíveis no mercado ?

Proibir o seu uso ?Proibir o seu uso ?

Normatizar e controlar ?Normatizar e controlar ?

Como garantir a segurança daComo garantir a segurança da

informação transportada ouinformação transportada ou

armazenada ?armazenada ?

CDMA/GSM/GPRS

Bluetooth

Infrared

Serial/USB

MemoryCards

802.11

Câmera

Gravador

E-mail

Web



Rede Corporativa

Server Farm

Firewall

Internet

Gateway

Access Pointnão autorizado



Quais áreas detém informações sensíveis e não Quais áreas detém informações sensíveis e não devem permitir a utilização de nenhum equipamento devem permitir a utilização de nenhum equipamento eletrônico ?eletrônico ?

EngenhariaMarketing

Novos ProdutosCall Center

Diretoria AdministraçãoOperação


As fraudes em TI podem ser evitadas?As fraudes em TI podem ser evitadas?

O combate às fraudes em TI depende de um esforço integrado de O combate às fraudes em TI depende de um esforço integrado de investimento tanto em mecanismos de segurança tecnológica investimento tanto em mecanismos de segurança tecnológica quanto em processos operacionais.quanto em processos operacionais.

Motivação + Oportunidade = FraudeMotivação + Oportunidade = Fraude

Avaliação de vulnerabilidades periódicas de Avaliação de vulnerabilidades periódicas de redes e sistemasredes e sistemasImplementação de sistemas inteligentes contra Implementação de sistemas inteligentes contra fraude (cartão de crédito, InternetBanking, fraude (cartão de crédito, InternetBanking, ATM)ATM)Auditorias não programadas sobre ações Auditorias não programadas sobre ações realizadas em sistemasrealizadas em sistemasSegregação de funçõesSegregação de funçõesSistema de denúncia anônimaSistema de denúncia anônima

Política de SegurançaPolítica de Segurança

Termos de concordânciaTermos de concordância

Treinamentos periódicosTreinamentos periódicos

Auditorias periódicasAuditorias periódicas

Ações de combate à fraude


Definindo Governança de TIDefinindo Governança de TI

Governança de TI é a organização e gerenciamento de:

Sistemas de informação

Pessoas

Tecnologias e

Controles

Compliance RiskStrategicSpending

Cost Control

ControlsFinancial

Management

TechnologyPeople

Process

Performance Management

RiskManagement

InvestmentManagement

BusinessAlignment

Com

mun

icat

ion Com

munication

Communication

StrategicInitiatives

ManagementFramework

Transformation

para suportar de forma eficiente e eficaz o atingimento dos objetivos da Organização.

© 2007 KPMG Risk Advisory Services, sociedade brasileira, membro da KPMG International, uma cooperativa suíça. Todos os direitos reservados.

38

TI é orientada para o cliente

Tomar decisões de investimento em infra-estrutura de TI

Decidir onde TI pode agregar mais valor

Conhecer os riscos

Equilibrar custos e riscos Decisão de investimento

local ou centralizada Gestão de riscos e

conformidade Capaz de comparar

projetos capacitados por TI com outros projetos

Pode influenciar a estratégia de negócios

Nos permite determinar a prioridade das exigências

Capaz de proteger ativos de TI

"É um facilitador" “Tem valor pelo dinheiro" "É essencial para a estratégia de negócios"

Governança de TI tem significados diferentes para pessoas diferentes...

© 2007 KPMG Risk Advisory Services, sociedade brasileira, membro da KPMG International, uma cooperativa suíça. Todos os direitos reservados.

39

Por outro lado...

Assegurar que funcione Não estourar o

orçamento de projetos de TI

Não atrasar a organização

Sem surpresas

Controle dos custos de TI

Sarbanes-Oxley Comitês diretivos Gestão de riscos e

conformidade

Forma de introduzir tecnologias novas e estimulantes

Assegurar que tenhamos o orçamento necessário

Por que não nos informam da estratégia?

"É um produto básico" "É uma mercadoria cara" É uma ferramenta complicada


A Evolução do Papel do CIOA Evolução do Papel do CIO

Papel do CIO Tradicional

O CIO tradicional possui um perfil O CIO tradicional possui um perfil mais de executor de projetos do que mais de executor de projetos do que um executivo pró-ativo nas decisões um executivo pró-ativo nas decisões dos rumos da companhia.dos rumos da companhia.

Reage às pressões das áreas de Reage às pressões das áreas de negócio e direcionadores de mercado negócio e direcionadores de mercado ao invés de antecipá-losao invés de antecipá-los

Reduz custos eliminando funções ou Reduz custos eliminando funções ou serviçosserviços

Considera novas tecnologias como Considera novas tecnologias como fundamentais para a companhia, sem fundamentais para a companhia, sem avaliar a fundo os reais benefícios avaliar a fundo os reais benefícios para o negóciopara o negócio

Procura organizar a TI de forma a Procura organizar a TI de forma a entregar níveis de serviços confiáveis entregar níveis de serviços confiáveis e adequados. e adequados.

Papel Desejável do CIO

O CIO atualizado está preocupado em O CIO atualizado está preocupado em gerenciar todo o portfolio de serviços gerenciar todo o portfolio de serviços e responsabilidades para produzir um e responsabilidades para produzir um desempenho aprimorado. desempenho aprimorado.

Trabalha em conjunto com os pares de Trabalha em conjunto com os pares de negócios para entender seus objetivos negócios para entender seus objetivos e desafios de mercadoe desafios de mercado

Procura sempre antecipar as Procura sempre antecipar as necessidades de negóciosnecessidades de negócios

Identifica indivíduos que possam gerar Identifica indivíduos que possam gerar relacionamento entre as unidades de relacionamento entre as unidades de negócios e entender os processos negócios e entender os processos operacionais de cada área.operacionais de cada área.


Aprimoramento da Governança de TIAprimoramento da Governança de TI

ATUAL

DESEJADO

Mod

elo O

rgan

izacio

nal

Planej.

Estr

atég

ico

Gestã

o de

com

itês

Polític

as e

Pad

rões

Desen

v. de

soluç

ões

Geren

c. de

Pro

jetos

Geren

c. da

Seg

uran

ça

Geren

c. da

disp

onibi

lidad

e

Geren

c. de

serv

iços

Geren

c. fin

ance

iro

Geren

c. da

ope

raçã

o

Audito

ria d

e TI

Geren

c. de

supo

rte

Geren

c. de

mud

ança

s

Otimizado

Gerenciado

Definido

Repetitivo

Inicial

Nív

el d

e M

atu

rid

ade

Governança de TI Processos


Obrigado Obrigado

Tel (0xx21) 3231-9415 / [email protected]

Risk Advisory Services

Frank Meylan

Tel (0xx11) [email protected]

frank meylan sócio kpmg são paulo, sp 20 de maio de 2008 conselho regional de administração de...

Documents