O que é conformidade, governança e gerenciamento de riscos?
Para entender a conformidade em um sentido pessoal, imagine que recebeu um aviso anual de privacidade do seu banco, assinou um formulário HIPAA em sua visita ao médico ou foi bloqueado por usar uma senha incorretamente. Para o profissional de TI, a conformidade inclui as atividades que fazem a manutenção e fornecem provas sistemáticas tanto da adesão às políticas internas quanto das leis, diretrizes ou regulamentos externos impostos à empresa.
Isso é feito por meio de um processo defensável. Existem dois elementos de conformidade: um se concentra no gerenciamento da conformidade e o segundo gerencia a integridade do sistema usado para aderir e provar a conformidade. Hoje, o papel da conformidade de TI continua a crescer à medida que o compartilhamento eletrônico e o armazenamento de informações impactam departamentos como finanças, recursos humanos e operações que dependem dos serviços de TI para coleta, divulgação e relatórios de informações.
A Conformidade de TI está protegendo e assumindo o controle adequado das informações, incluindo como são obtidas e armazenadas, como são protegidas, sua disponibilidade (como é distribuída internamente e externamente) e como os dados são protegidos. As funções internas de conformidade giram em torno das políticas, das metas e da estrutura organizacional do negócio. Considerações externas incluem satisfazer o cliente/usuário final enquanto protege a empresa e o usuário final de danos. Ferramentas especializadas são usadas para identificar, monitorar, informar e auditar continuamente para alcançar e permanecer em conformidade.
Em relação à conformidade de TI, a governança de TI é a função de gerenciar e abordar os processos técnicos, estratégicos e processuais predominantes. A governança de TI é um subconjunto do processo geral de governança corporativa e é supervisionada na maioria dos casos pelo profissional apropriado da diretoria executiva, como um Diretor de Conformidade (CCO) com as responsabilidades multifuncionais crescentes de um Diretor Técnico (CTO).
O gerenciamento de riscos é a prática de mitigar e gerenciar riscos por meio de controles de sistema e, portanto, está intimamente alinhado como função integral da governança de TI e da conformidade de TI. A GRC (Governança, Risco e Conformidade) é uma estratégia integrada para gerenciar políticas, processos e controles de forma eficaz e apropriada. O gerenciamento coletivo dessas três funções, em vez de como objetivos independentes, pode eliminar a duplicação e facilitar a divulgação segura de informações e comunicações.
O que é ISACA?
Conforme o ambiente regulatório cresce, as instituições que auxiliam os profissionais a encontrar informações para entender melhor esse ambiente o acompanham (isso inclui gerentes e executivos de TI). A Associação de Auditoria e Controle de Sistemas de Informação (ISACA) é uma dessas organizações. A ISACA é uma organização sem fins lucrativos dirigida por membros que fornece notícias, revistas, ferramentas, educação, compartilhamento de recursos e diálogo sobre conformidade, gerenciamento de riscos, auditorias e segurança cibernética. A organização também promove certificações para profissionais de conformidade de TI, que incluem:
- certificação de auditor de sistemas de informação;
- certificação em sistemas e controle de riscos e informações;
- certificação na governança da TI empresarial;
- certificação de gerente de informações.
Essas certificações da ISACA e de outras organizações podem auxiliar os profissionais na compreensão e implementação das práticas recomendadas de conformidade. No livro Auditing IT Infrastructures for Compliance, os autores Martin Weiss e Michael G. Solomon discutem as complexidades para os profissionais atuais: “Em primeiro lugar, funcionários de tecnologia da informação raramente têm uma base jurídica. Em segundo lugar, a maioria dos requisitos não tem profundidade técnica... (e) muitos regulamentos são vagos em seus requisitos.” A seguir, afirmam que, muitas vezes, cabe ao setor, à empresa individual, à equipe jurídica, à diretoria executiva e aos auditores e profissionais de conformidade desenvolver os métodos para se adequar às leis e regulamentos.
Entendendo as diversas normas regulatórias de conformidade
Existem diversos estatutos regulatórios promulgados pelo Congresso. As normas geralmente são uma resposta a um problema social ou econômico e, como tal, são consideradas “legislação regulamentadora”. As agências governamentais apropriadas são então encarregadas de criar e fazer cumprir os regulamentos autorizados pelo estatuto. As proteções exigidas na maioria têm regulamentação e proteção específicas de informações incorporadas para proteger a privacidade, evitar fraudes, oferecer segurança e proteger identidades por meio de padronização, mandados e prestação de contas.
Espera-se que as corporações que oferecem produtos e serviços nos EUA conheçam e cumpram essas regulamentações. Pessoas jurídicas corporativas e diretoria executiva, incluindo CCOs ou CTOs, são responsáveis pelas políticas para alcançar e defender a adesão às regulamentações relevantes. Em alguns casos, esses executivos assumem a responsabilidade pessoal pela adesão e relatórios legais e podem ser responsabilizados pessoalmente com penalidades duras ou até mesmo prisão. Há também outras disposições de conformidade que incluem proteções contra a destruição ilegal de informações que podem estar sujeitas à exibição de provas eletrônicas, na qual as informações são solicitadas em processos judiciais e sujeitas a processos antes do fornecimento dos dados.
Além das políticas federais, muitas empresas devem cumprir as normas internacionais, bem como restrições locais, regionais e estaduais. Pode ser difícil identificar quais leis, regulamentos, estatutos ou mandados são necessários. A maioria concorda que a equipe jurídica e a diretoria executiva, sob orientação e recomendações do oficial de conformidade, são encarregadas de determinar o escopo da conformidade.
Algumas das normas mais conhecidas que afetam a conformidade de TI incluem:
A Lei Sarbanes-Oxley (SOX) de 2002 é um estatuto abrangente para regulamentar a transparência financeira e a elaboração de relatórios. Foi promulgada pelo congresso dos EUA como uma resposta direta à má conduta da Enron e da WorldCom. A seção 404 é importante para a TI na área de controles de relatórios financeiros.
A Lei Gramm-Leach-Bliley (GLBA) foi assinada em 1999 e determina que as instituições financeiras gerenciem as proteções ao consumidor (por meio de avisos anuais) de suas políticas de privacidade. Também requer garantias internas e externas apropriadas, mesmo contra a ameaça de ganho ilegal de informações por meios fraudulentos, pretensões ou adivinhações.
A Lei Federal de Gerenciamento de Segurança da Informação (FISMA) foi aprovada em 2002 e determina a segurança da informação para a burocracia federal, exigindo uma revisão anual dos sistemas.
A HIPAA, ou a seção do Título II da Lei de Portabilidade e Responsabilidade de Seguros de Saúde, articula políticas e diretrizes para regulamentar as informações, especialmente Informações de Saúde Protegidas (PHI) por seguradoras, prestadores de serviços médicos e empregadores que fornecem seguro de saúde.
O Padrão de Segurança de Dados da Indústria de Cartões de Pagamento de 2001 (PCI DSS) é uma recomendação implementada pelo setor instituída por MasterCard, Visa e outras empresas de cartão de crédito para fornecer proteções de identidade para membros e prestadores de serviços.
A Declaração sobre Normas para Compromissos de Atestado (SSAE 16) tornou-se eficaz em 2011, substituindo a SAS 70 como o relatório sobre controles para organizações de serviços. Data centers, ISPs e provedores de serviços de hospedagem web são entidades comuns relacionadas à TI às quais o SSAE 16 se aplica.
A Basileia III se aplica ao setor bancário e ajuda a determinar a quantidade de capital que precisa ser reservado para se recuperar em caso de perda. Essa regulamentação impacta a TI, pois precisa de software que possa realizar cálculos mais avançados.
Quais regulamentos de conformidade se aplicam à sua organização?
Lidar com a infinidade de regulamentos em inúmeros setores é assustador para muitas organizações. Nos EUA, uma empresa pode estar sujeita à autoridade de um ou vários órgãos reguladores, incluindo a Comissão de Valores Imobiliários (SEC), a Comissão Federal de Comunicações (CC) e a Comissão Federal de Comércio (FTC). Os setores mais afetados são os de finanças, varejo e comércio eletrônico, seguros e serviços de saúde, outras instituições de seguros, bancos, defesa, serviços públicos e emissores de cartões de crédito que têm acesso a informações confidenciais. Mas a lista também inclui qualquer organização que mantenha informações confidenciais — por exemplo, qualquer organização que tenha números do seguro social; isso abrange a maioria dos empregadores, entidades governamentais e faculdades e universidades.
É difícil identificar empresas, especialmente as globais, que não estejam sujeitas a regulamentos locais, regionais, estaduais, federais ou internacionais. Os mandados da HIPAA afetam as seguradoras e os profissionais de saúde, mas também há disposições que afetam qualquer empregador que ofereça seguro de saúde aos seus funcionários. Além das leis e regulamentos formais, esteja ciente dos padrões do setor (como padrões de prestação de contas financeiras da Basileia III e PCI DSS na indústria de cartões de crédito). A conclusão é que, se um departamento de TI estiver encarregado de proteger informações para garantir a confidencialidade, integridade, confiabilidade ou disponibilidade de informações, há grandes chances de que existam inúmeras regulamentações que exigem conformidade.
Auditorias e relatórios de conformidade
Avaliações e auditorias são um método para determinar a conformidade. Realizada por um comitê de auditoria, uma auditoria de conformidade pode determinar se uma empresa está aderindo às leis aplicáveis por uma revisão sistemática de políticas, procedimentos, operações e controles. Como a TI tem alcance em toda a empresa, uma auditoria geralmente é feita em vários departamentos. O escopo de uma auditoria de conformidade de TI identifica as leis e requisitos, avalia como leis, requisitos ou padrões específicos estão sendo cumpridos e fornece recomendações e soluções para a não conformidade.
Relatórios de conformidade de TI são frequentemente necessários durante auditorias a fim de fornecer um registro correlacionado de dados que contenha evidências de conformidade. Além das auditorias, os relatórios de conformidade serão usados pela equipe de TI para descobrir violações de segurança, ameaças subjacentes e violações de políticas que precisem ser corrigidas antes que ocorram danos graves. Um balanced scorecard é uma opção para medir se sua estratégia de conformidade está sendo executada com sucesso sem afetar a missão de sua empresa.
Modelos de práticas recomendadas de governança
A Gartner Research define a governança de TI como “os processos que garantem o uso eficaz e eficiente de TI, permitindo que uma organização alcance seus objetivos”. Já existem inúmeros modelos para ajudar na governança. Isso inclui:
- A Biblioteca de Infraestrutura de Tecnologia da Informação (ITIL) tem cinco princípios fundamentais que alinham os serviços de TI com objetivos empresariais: estratégia, design, transição, operação e serviço. Eles se combinam para fornecer a base de uma forte estrutura de governança de TI. Para apoiar as crescentes necessidades e complexidades da segurança da informação, a Organização Internacional para Padronização (ISO) fornece padrões para controles que suportam segurança e risco.
- O guia do CobiT (Controle de Objetivos para Informação e Tecnologias Relacionadas) foi desenvolvido pelo Instituto de Governança de TI (ITGI), um braço de pesquisa da ISACA. É um modelo de governança e gerenciamento de TI que facilita a implementação lógica e a organização de controles. Ele pode ser usado para vincular efetivamente as metas dos negócios e as metas de TI por meio de um conjunto de quatro domínios de processo.
- A ISO 27001 identifica doze objetivos para o controle de segurança da informação. Ela adota uma abordagem de tecnologia neutra para desenvolver um sistema integrado de gerenciamento de segurança (ISMS).
Quem é responsável pela conformidade?
Embora os modelos de práticas recomendadas estejam disponíveis para orientar a adesão aos regulamentos de conformidade, as pessoas são necessárias para que tudo aconteça. As funções de estratégia e implementação de conformidade estão evoluindo dentro de empresas com departamentos e cargos da alta gerência, incluindo um departamento de conformidade dedicado que, juntamente com o CCO, pode ser encarregado de supervisionar, planejar e gerenciar elementos que trabalham para a conformidade de TI. Vamos dar uma olhada mais de perto nas funções de um CCO e da equipe geral de conformidade.
Diretor de Conformidade (CCO): o CCO será responsável por identificar e gerenciar riscos de conformidade, incluindo o desenvolvimento de controles internos e externos para administrar e resolver problemas de conformidade. Muitas vezes, um CCO implementará um departamento de conformidade para fornecer serviços completos de conformidade à empresa e à equipe.
Diretor de Tecnologia (CTO): ao contrário de um CCO, o CTO supervisiona toda a estrutura e infraestrutura de tecnologia, incluindo conformidade, governança e avaliação de riscos.
Departamento de Conformidade: se uma organização tem um departamento de conformidade dedicado, ele será encarregado de gerenciar e supervisionar o cumprimento de todos os regulamentos e mandados aplicáveis. As tarefas podem incluir:
- identificação de risco;
- implementação de controles de risco;
- relatórios sobre a eficácia dos controles;
- resolução dos problemas de conformidade;
- fornecimento de aconselhamento regulatório para a empresa.
No entanto, deve-se observar que, embora o gerenciamento técnico, processual e estratégica resida com aqueles com maior risco de responsabilização (pessoal de TI, CIO, CFO e CEO), todos os constituintes da estrutura corporativa são responsáveis pelo cumprimento das normas que protegem informações confidenciais.
Conformidade de TI: metas e desafios
O objetivo geral da conformidade de TI é construir uma estrutura técnica, processual e estratégica que forneça os meios para alcançar e provar a integridade jurídica e ética de uma empresa. Oferecer mecanismos, políticas e procedimentos defensáveis pode ajudar a evitar o seguinte:
- danos à imagem institucional ou à confiança do consumidor;
- receita, oportunidade de mercado ou valor de ações perdidos;
- despesas de reparação (custos jurídicos, multas e julgamentos, proteções ao consumidor adquiridas, aquisições de capital e perda de produtividade).
No entanto, há muitos desafios para se alcançar essa meta. Em primeiro lugar, a complexidade e o escopo dos novos estatutos estão sujeitos a interpretação. Como os próprios regulamentos não vêm com um roteiro concreto, há inúmeras diretrizes e práticas recomendadas disponíveis específicas do setor que fornecem clareza e orientação.
Outros desafios incluem:
- educação insuficiente de funcionários;
- problemas de TI invisível, como dispositivos móveis pessoais que contornam sistemas de TI corporativos;
- aplicativos não autorizados;
- dificuldades com provedores de serviços (serviços em nuvem e data centers);
- o papel das redes sociais;
- número de regulamentos atuais, atualizações e novas leis.
Governança, risco e gerenciamento de conformidade de TI e soluções de software
Para gerenciar as muitas necessidades crescentes e em mudança da conformidade de TI, muitas organizações implementam estratégias de solução. Independentemente do tipo de solução escolhida (uma estrutura teórica ou uma plataforma de software), certifique-se de que ela funcionará no cenário empresarial atual. Uma solução de conformidade de TI deve ser adaptável (para que possa ser atualizada à medida que as regulamentações mudem), permitir investigação interna, diálogo e educação contínuos dos envolvidos e gerenciar efetivamente quaisquer problemas de não conformidade.
O termo GRC combina as funções entrelaçadas da conformidade de TI com as responsabilidades abrangentes da governança corporativa para aprimorar as atividades de gerenciamento de riscos. A Gartner Research coloca ênfase adicional na importância de apoiar o gerenciamento de riscos por meio de seu “Ciclo de Hype” e identifica sete segmentos de mercado com foco no gerenciamento integrado de riscos (IRM) em geral:
- gerenciamento de riscos operacionais (ORM);
- gerenciamento de riscos de TI;
- gerenciamento de riscos de fornecedores de TI;
- planejamento do gerenciamento da continuidade de negócios (BCM);
- gerenciamento de auditoria;
- conformidade e supervisão corporativa;
- gerenciamento jurídica empresarial.
Das sete áreas, duas estão diretamente relacionadas à TI e, no Guia de mercado para soluções integradas de gerenciamento de riscos de 2016 da Gartner, o analista John A. Wheeler afirma que “...os riscos de TI têm sido gerenciados isoladamente, mas cada vez mais são reconhecidos como indicadores de tendência de falhas em outras áreas de risco, como fraude, e resiliência”. A Gartner também começou a usar gerenciamento integrada de riscos como uma frase para definir melhor as funções de um sistema forte para governança, gerenciamento de riscos e conformidade.
Ao adotar uma solução integrada de gerenciamento de riscos (IRMS), existem inúmeros modelos (CobiT e ITIL) e organizações (COSO) disponíveis para auxiliar no desenvolvimento de práticas e procedimentos recomendados.
Muitas organizações também optam por adotar uma solução de software para gerenciar a conformidade de TI. O software de conformidade de TI pode auxiliar funções essenciais e oferecer funcionalidades micro e macro, recursos e controles integrados e soluções móveis para ajudar na conformidade e no gerenciamento de riscos. Os recursos que você pode buscar ao avaliar o software de gerenciamento de conformidade incluem:
- identificação de vulnerabilidades;
- controles de sistemas e funções de segurança de aplicativos;
- funções de recuperação rápida após falhas ou incidentes;
- avaliação de risco e identificação de ameaças;
- gerenciamento de documentos e projetos;
- operações em andamento e gerenciamento da manutenção;
- autenticação e registros de auditorias;
- análise e perícia da causa principal;
- firewalls, segurança de rede e detecção de malware;
- gerenciamento de alterações e monitoramento de pedidos de atendimento de problemas;
- recuperação de desastres;
- arquivamento de e-mails.
Ao considerar a adoção de uma solução de software, primeiro você precisa de um plano claro e de uma avaliação e revisão das metas, processos e procedimentos já em vigor. Por exemplo, identifique quais problemas de conformidade precisam ser adicionados ou reforçados e como você empregará o software para ajudar. Para orientar esse processo, existem inúmeras organizações e especialistas do setor que podem ajudar a formular as perguntas ou obter informações à medida que uma solução for pesquisada. Por exemplo, o Quadrante Mágico da Gartner para Soluções de Gerenciamento de Risco de TI cobre o segmento de conformidade corporativa, lista fornecedores de software e avalia os pontos fortes e as aplicações apropriadas de seus produtos.
Antes de fazer uma escolha final de software, certifique-se de:
- avaliar o histórico e a reputação do fornecedor;
- fazer perguntas complexas de conformidade ao fornecedor para garantir que ele compreenda suas necessidades e requisitos;
- testar o produto e envolver pessoas chave;
- trabalhar com analistas e especialistas do setor;
- realizar uma avaliação com base em requisitos específicos de governança, risco e conformidade da organização.
Em última análise, uma exploração completa das soluções de software disponíveis o levará ao produto mais adequado às suas necessidades. Lembre-se de não ser influenciado por funcionalidades adicionais extravagantes (que talvez nem sejam necessárias); deixe que os resultados de sua pesquisa sejam o fator decisivo.
Benefícios e práticas recomendadas de uma solução de conformidade de TI
Como discutimos, a falha em aderir aos regulamentos de conformidade pode ter um grande impacto nos resultados da sua organização. Portanto, estabelecer uma estratégia robusta de conformidade de TI, juntamente com soluções de suporte, é fundamental para o sucesso futuro da sua organização. Uma solução forte de conformidade de TI pode habilitá-lo a:
- manter-se atualizado sobre os requisitos atuais de conformidade por meio de integrações com fontes de dados de GRC;
- padronizar processos em todos os regulamentos de GRC de TI necessários;
- melhorar a eficácia com processos e fluxo de trabalho automatizados;
- fornecer à liderança relatórios de conformidade de TI em tempo real;
- manter registros precisos para auditorias;
- maximizar o investimento em serviços de conformidade de TI;
- incorporar as práticas recomendadas de conformidade relevantes em processos e fluxo de trabalho;
- gerenciar os recursos de TI e garantir a prestação de contas.
Como evitar riscos de conformidade e TI – dicas para líderes de conformidade
Como observado anteriormente, existem muitos desafios associados à conformidade de TI. Aqui estão várias dicas que ajudarão a evitar multas caras, penalidades e outras consequências jurídicas associadas à não conformidade:
- Eduque os funcionários sobre todos os aspectos da privacidade dos dados e forneça a eles as ferramentas de proteção.
- Forneça aos funcionários móveis laptops e dispositivos que contenham políticas de segurança e mecanismos de prevenção, como capacidades de limpeza remota e acesso seguro a dados corporativos.
- Coloque os mecanismos de autorização em vigor para limitar o acesso a aplicativos que podem ser baixados. Só permita que softwares e aplicativos aprovados sejam baixados.
- Imponha a criptografia para a segurança e evite o acesso por dispositivos sem acesso seguro.
- Utilize apenas soluções de armazenamento em nuvem seguras e modernas.
E, finalmente, um bom sistema de conformidade de TI envolve as realidades e complexidades do ambiente altamente conectado de hoje. Todos os funcionários desempenham um papel na proteção de dados e no uso de equipamentos de forma ética (por exemplo, ao usar laptops e computadores e os proteger mesmo quando fora do local de trabalho). Mais do que nunca, a conformidade de TI exige fortes estruturas de governança, políticas e proteções apropriadas e processos defensáveis para proteger a empresa se surgirem incidentes.
Descubra uma melhor maneira de gerenciar a TI e as operações com o Smartsheet
Capacite seu pessoal para ir além com uma plataforma flexível desenvolvida para atender às necessidades da sua equipe e se adaptar conforme essas necessidades mudam. Com a plataforma Smartsheet fica fácil planejar, coletar informações, gerenciar e criar relatórios sobre o trabalho de qualquer lugar, ajudando sua equipe a ser mais eficiente e mostrar resultados. Crie relatórios sobre as principais métricas e obtenha visibilidade do trabalho em tempo real, à medida que ele acontece, através de relatórios, painéis e fluxos de trabalho automatizados criados para manter sua equipe conectada e informada. Quando as equipes têm clareza sobre o trabalho que está sendo realizado, elas podem ser muito mais produtivas durante o mesmo período de tempo. Experimente o Smartsheet gratuitamente hoje mesmo.
Qualquer artigo, modelo ou informação fornecidos pela Smartsheet no site são apenas para referência. Embora nos esforcemos para manter as informações atualizadas e corretas, não fornecemos garantia de qualquer natureza, seja explícita ou implícita, a respeito da integridade, precisão, confiabilidade, adequação ou disponibilidade do site ou das informações, artigos, modelos ou gráficos contidos no site. Portanto, toda confiança que você depositar nessas informações será estritamente por sua própria conta e risco.
Esses modelos são fornecidos apenas como amostras. Esses modelos não são, de forma alguma, conselhos jurídicos ou de conformidade. Os usuários desses modelos devem determinar quais informações são necessárias para alcançar seus objetivos.