Questionando
a sua postura de conformidade regulamentar? Existe
uma resposta “padrão”
|
 |
 |
|
Introdução
Durante os últimos anos, a indústria
de serviços financeiros tem sido o principal
foco de atenção de corpos regulamentares
tanto domésticos como internacionais. O resultado
foi um drástico aumento na demanda dos clientes
por privacidade, segurança, integridade e proteção
de dados. Nos Estados Unidos, por exemplo, a diretoria
e o gerenciamento executivo de empresas são
agora legalmente responsáveis pelos controles
internos que protegem seus principais processos e sistemas.
Na Europa, a proteção e privacidade dos
dados pessoais de clientes também são
cada vez mais o alvo de regulamentações.
Este artigo examina vários requisitos regulamentares
enfrentados pela indústria de serviços
financeiros atual, e sugere que a criação
de um programa de segurança de informações,
baseado em padrões aceitos globalmente, criará uma
postura de conformidade regulamentar, valorizando os
negócios.
Verificando a paisagem regulamentar
Para evitar um declínio na confiança
dos clientes na indústria de serviços
financeiros, os reguladores em todo o mundo vêm
decretando leis que designam responsabilidade corporativa
para a segurança de dados financeiros e pessoais
dos clientes. Entre as regulamentações
mais divulgadas, estão o Sarbanes-Oxley Act,
o California Senate Bill 1386, o Gramm-Leach-Bliley
Act, o EU Data Protection Directive e o Basel II Accord.
Antes da aprovação de regulamentações,
um conjunto das melhores práticas para a segurança
das empresas e seus dados foi desenvolvido. Esses padrões
podem formar a fundação de um programa
de segurança abrangente que garanta que as empresas
provedoras de serviços financeiros adotem uma
visão holística das regulamentações
e demandas de segurança. O número de
regulamentações pode ser vasto, mas quando
analisados através das lentes de um programa
de segurança coerente, os mandatos de segurança
podem ser atendidos e outras questões comerciais
ainda mais importantes, como o gerenciamento de riscos
operacionais e aumento da satisfação
dos clientes, podem ser abordadas.
Analisemos mais de perto essas regulamentações
e os controles de segurança que elas realmente
demandam.
- Sarbanes-Oxley Act. Criado após os
fiascos contábeis da Enron e WorldCom, o Sarbanes-Oxley é certamente
a legislação mais abrangente que afeta
as empresas de comércio público dos Estados
Unidos desde o Securities Exchange Act de 1934. Para
restaurar a confiança dos investidores nos relatórios
financeiros de empresas públicas, o Sarbanes-Oxley
responsabiliza pessoalmente os funcionários
de uma empresa pelo fornecimento de informações
financeiras públicas precisas aos investidores.
Os “controles internos” são destacados
como a fundação da integridade e precisão
das informações e, cada vez mais, os
controles de segurança são vistos como
a parte central de qualquer sistema eficiente de controle
interno. Se os sistemas que mantêm dados financeiros
não se mostram seguros, observam os especialistas
legais, os executivos estarão então sob
pressão para garantir a validade dos dados e
a integridade de seus controles internos. Conforme
observado pela Gartner Inc., “Sem funções
de controle de segurança adequadas, um executivo
não pode confiar de forma realista na precisão
das declarações financeiras”. Apesar
dessa lei e das diretrizes regulamentares que a suportam
não serem muito específicas sobre os
controles necessários para a conformidade, todos
os profissionais de segurança sabem que um programa
equilibrado para a proteção das informações
(que abrange informações financeiras
relevantes) é necessário para atingir
uma integridade confiável das informações.
- California Senate Bill 1386. Também
conhecido como o Security Breach Information Act (Lei
das Violações da Segurança de
Informações), esta lei foi efetivada
no dia 1º de julho de 2003. Ela determina que
as empresas com negócios no estado da Califórnia,
ou que possuem clientes nesse estado, notifiquem seus
clientes sempre que qualquer informação
pessoal dos mesmos for exposta a terceiros de forma
não criptografada. Além de estabelecer
a criptografia (de intensidade não especificada)
como um “porto seguro” contra o requisito
de notificação, esta lei não especifica
nenhum outro controle exigido para a conformidade.
A lei busca, de forma clara, motivar as empresas a
aprimorar o sigilo das informações pessoais
especificadas. Qualquer empresa que deseje evitar a
inconveniência das notificações
implementará a criptografia de forma abrangente.
E como a criptografia sozinha não pode ser responsável
pela proteção, as empresas devem criar
um programa equilibrado de proteção às
informações (abrangendo as informações
pessoais específicas), para obter o sigilo necessário
das informações confiáveis.
- Gramm-Leach-Bliley Act. O GLBA determina
a privacidade e proteção dos registros
de clientes mantidos por instituições
financeiras. Especificamente, a Seção
501 (b) determina que as empresas provedoras de serviços
financeiros estabeleçam “garantias físicas,
técnicas e administrativas”. Enquanto
alguns dos detalhes mais específicos variam
de um corpo regulamentar para outro, a maioria dos
reguladores adotou os Interagency Guidelines Establishing
Standards (padrões de estabelecimento das diretrizes
entre agências) para a proteção
das informações dos clientes. Essas diretrizes
entre agências não deixa nenhuma dúvida
quanto à necessidade de um programa equilibrado
e abrangente de proteção às informações
(que proteja as informações financeiras
pessoais específicas), para a obtenção
da privacidade confiável das informações.
As diretrizes apresentam uma infra-estrutura fechada,
geral e abrangente para tal programa, sendo que cada
instituição financeira deve definir os
detalhes da implementação, apropriados
para as suas circunstâncias.
- Diretiva de Proteção de Dados
da União Européia. A Diretiva exige que
cada país membro da União Européia
aprove a legislação que exige controles
de sigilo e integridade para redes, sistemas e dados
que contêm informações pessoais.
Enquanto a maioria da regulamentação
nos Estados Unidos aborda somente a relação
entre uma empresa e seus clientes externos, a Diretiva
de Proteção de Dados da União
Européia inclui explicitamente as informações
pessoais de funcionários junto às informações
de clientes. Especificamente, todas as informações
pessoais coletadas devem ser protegidas contra destruição
acidental ou ilegal, perda, alterações
e divulgação ou acesso não autorizado.
Todos os países membros da União Européia
adotaram esta diretiva e aprovaram a legislação
necessária. Nenhum controle ou pequeno grupo
de controles pode fornecer a proteção
necessária para essas leis. Ao contrário,
um programa de proteção às informações
amplo e equilibrado (abrangendo as informações
pessoais específicas) é necessário
para a obtenção da proteção
segura das informações.
- Basel II Accord. O Bank for International
Settlements, uma organização internacional
criada para regulamentar bancos ativos internacionais,
lançou o Basel Accord II, que fornece diretrizes
para o cálculo de riscos (de crédito,
do mercado e operacionais) de um banco. Apesar de não
haver discussão direta sobre um componente de
segurança das informações, o cálculo
de riscos requer a identificação, avaliação
e gerenciamento dos riscos que uma organização
está enfrentando. Ao lidar com riscos operacionais, é impossível
ignorar os riscos introduzidos pelas ameaças
de segurança e a possibilidade de falhas no
ambiente dos controles de segurança. Quanto
mais eficientes forem os esforços de um banco
para o gerenciamento de riscos, menos recursos serão
necessários reservar para emergências.
Portanto, há uma conexão direta e potencialmente
benéfica entre a efetividade dos controles de
segurança e os limites do banco. Porém,
para obter controles de segurança que forneçam
esse benefício, é necessário implementar
com sucesso um programa de proteção das
informações equilibrado e abrangente.
Análise das infra-estruturas
Como vimos, o padrão é simples. Apesar
de cada uma das principais estruturas financeiras regulamentares
discutidas acima possuir aspectos exclusivos (como
o escopo das informações que procura
proteger), cada uma necessita da implementação
de um programa de segurança das informações
com todos os elementos básicos equilibrados
para atender às necessidades individuais de
cada uma. E como toda instituição será regulamentada
por mais de uma legislação, faz sentido
a adoção de uma abordagem consistente
comum à conformidade. Como nenhuma lei fornece
uma infra-estrutura de programas completa (apesar do
GLBA ser a mais completa), as instituições
devem procurar outras fontes para a obtenção
de infra-estruturas de programas.
- ISO 17799 e BS 7799. Este é conhecido amplamente como
o padrão mais usado para as políticas de segurança
de informações. Apesar da conformidade com o ISO 17799
não ser obrigatória, ela fornece uma fundação
forte para um programa de segurança de informações.
O padrão aborda as seguintes 10 áreas: Política
de segurança, Controle do acesso de sistemas, Gerenciamento
de operações e computadores, Desenvolvimento e manutenção
de sistemas, Segurança física e de ambientes, Conformidade,
Segurança pessoal, Organização da segurança,
Controle e classificação das informações
e Gerenciamento da continuidade dos negócios.
- Diretrizes OECD para a Segurança dos Sistemas e Redes
de Informações. A Organização para o Desenvolvimento
e Cooperação Econômica (Organization for Economic
Cooperation and Development) publicou um documento que especifica as
diretrizes para a segurança dos sistemas e redes de informações.
Semelhante ao ISO 17799, a conformidade com essas diretrizes não é obrigatória,
porém elas fornecem uma fundação forte para um
programa de segurança de informações. Essas diretrizes
abordam os seguintes princípios: Conhecimento, Responsabilidade,
Respostas, Ética, Democracia, Avaliação de riscos,
Criação e implementação da segurança,
Gerenciamento de segurança e Reavaliação.
- Outras infra-estruturas. Outras reconhecidas infra-estruturas
de programas de segurança de informações incluem
CobiT, o Padrão ISF de Boa Prática (ISF Standard of Good
Practice) e a Biblioteca de Infra-estruturas de TI (IT Infrastructure
Library ou ITIL).
Conclusão
A criação de um programa de segurança
das informações corporativas em uma instituição,
baseado em uma infra-estrutura padrão, deve
permitir soluções comuns em várias áreas
regulamentares, deve ser mais eficiente e deve ajudar
a conquistar credibilidade do programa com vários
auditores ou inspetores que possam avaliá-lo.
Se os requisitos regulamentares e infra-estruturas
de segurança forem aderidos de forma apropriada,
eles poderão fornecer grande vantagem competitiva
a instituições financeiras, ajudando-as
a aumentar a confiança dos clientes e a reputação
de suas marcas.
Links Relacionados:
|
|
|
