Uma palavrinha sobre Compliance

Um dos maiores desafios de TI nos dias de hoje é estruturar os esforços para obter a conformidade (compliance) com as regulamentações de SOX ou até mesmo as contratuais tipo PCI. De modo geral, a maioria das empresas entende que precisam manter estruturas de proteção e segurança para seus sistemas e seus dados, mas tem dificuldade em entender quanto detalhado ou amplo estes requerimentos devem ser interpretados. Neste ponto, as estruturas de controles internos como o CobiT ou a ISO17799 podem ajudar o Profissional.

Estruturas de Controle e Governança como  o CobiT ou Catálogos de Praticas como a ISO17799 podem ajudar a Empresa de três formas distintas: Entender as dimensões dos requerimentos de segurança e governança, demonstrando as varias opões para se atingir estes requerimentos e estruturando um programa de compliance.

As Dimensões

É fácil pensar nos aspectos de compliance como sendo o mesmo que um dos mecanismos que podem ajudar o profissional de TI atingir suas metas de segurança. Por exemplo, seria o mesmo que os profissionais de segurança pensarem em seus firewalls, autenticação e mecanismos de autorização quando considerarem como sua informação deve ser protegida.

Uma forma mais produtiva é ver a segurança sob a perspectiva do que a Empresa está tentando proteger, e como. Estruturas de controle necessitam que a Empresa efetue uma avaliação de riscos e classifique suas informações e ativos a serem protegidos antes de decidir como protegê-los.

Quando consideraram os riscos associados a uma atividade de compliance como SOX, a avaliação de riscos irá forçar a empresa perceber quais das suas informações e processos irão impactar a acuracidade, transparência e responsabilidade final sobre os relatórios financeiros da empresa. A identificação e o processo de avaliação de riscos permitem que a empresa defina o escopo das atividades de compliance e os riscos que deverão ser mitigados.

As estruturas de Controle como o CobiT e a ISO expõem o fato de que segurança é mais do que simplesmente controles sobre sistemas e aplicativos. O escopo total da segurança inclui como você está organizado corporativamente – os checklists que as pessoas realizam quando desenvolvem, mantém, provisionam e auditam os processos de negocio que estão contidos no escopo do compliance. Inclua neste escopo mais do que as atividades internas, mas as externas também, como os provedores de serviços e contratos com terceiros, por exemplo.

Os Mecanismos

As Estruturas de Controle ajudam na identificação das ofertas de mecanismos, serviços e metodologias que as Empresas podem fazer uso para mitigar riscos. Enquanto os tecnólogos tendem para estabelecer soluções técnicas, os padrões do CobiT e da ISO enfatizam a necessidade de políticas e procedimentos baseados em processos de negócios corretamente estruturados para gerenciar riscos.

Por exemplo, existem momentos que os mecanismos mais efetivos para garantir que somente os usuários apropriados obtenham acesso às informações financeiras da Empresa são envolver as pessoas corretas na aprovação e certificação destes controles de acesso. Algumas empresas podem passar ao largo da necessidade de mecanismos de segurança simplesmente configurando políticas que declarem que informação sensível para o negocio deve estar contida em determinados ambientes de processamento de dados apropriadamente protegidos e devem ser transmitidas de forma particular. Esta medida compensatória simplifica tremendamente a tarefa de compliance.

A Estrutura do Programa

A parte importante a ser considerada no texto de um documento de compliance deve ser dedicada ao processo de continuidade de melhoria do próprio compliance. Compliance com qualquer regulamentação, contrato ou padrão requer uma abordagem cíclica e estruturada para que se atinjam as metas. O CobiT apresenta e descreve  os seguintes processos que podem ser encontrados também em outras estruturas de controle:

•    Definir as metas especificas para o contexto do negocio e da organização da empresa;
•    Seleção dos controles para atender estas metas;
•    Organizar e implementar estes controles;
•    Avaliar a efetividade dos controles;
•    Repetir o processo.

A Estrutura de Controle nos lembra que compliance é um processo e não uma atividade. Na medida em que o negocio evolui e se adequa ao mercado, o ambiente de trabalho acompanha estas mudanças. Cresce, encolhe, oferece novos produtos, instala novos produtos ou se torna exposto a novas ameaças. Se os riscos mudam, os controles acompanham estas mudanças.

Há que se considerar também que, o que pode ser uma boa pratica hoje, poderá não mais atender às demandas de mercado amanha. Em outras palavras, faz-se a necessidade de um processo que se adapte e reconheça mudanças de negocio para as atividades de compliance, isto é: de uma Estrutura de Controle.

Anúncios