O Desafio
da Conformidade
|
 |
| |
Atualmente, as empresas sofrem uma
enorme pressão por parte dos órgãos
regulamentares. Nos últimos anos, os governos
e os órgãos de padronização
têm exigido cada vez mais atenção à privacidade
do cliente, à confiabilidade dos dados e à segurança.
Conseqüentemente, as empresas vêm tentando
assegurar a conformidade com padrões, bem como
comprovar essa conformidade durante o processo de auditoria.
Considere o seguinte:
- A lei norte-americana “Sarbanes-Oxley
Act” exige
que todas as empresas de capital aberto comprovem que
suas declarações financeiras e os dados
e procedimentos usados para gerá-las estejam
protegidos contra fraudes;
- Atualmente, as instituições
de serviços
financeiros (entre outras) estão sujeitas às
regulamentações norte-americanas “Gramm-Leach-Bliley
Act” e "Basel II Accord”;
- Graças à lei “Health
Insurance Portability and Accountability Act” (HIPAA),
as empresas norte-americanas passaram a ser obrigadas
a proteger os dados de seus funcionários, e
os fornecedores de seguros e de serviços de
saúde, a proteger as informações
de seus pacientes;
- A lei "Federal Information Security
Management Act” (FISMA) exige que os órgãos
federais desenvolvam, registrem e implementem programas
abrangentes de segurança de dados e de sistemas
de informação;
- Os serviços de utilidade
pública estão
sujeitos ao padrão de segurança cibernética
do Conselho Norte-americano de Confiabilidade Elétrica
(NERC, North American Electric Reliability Council).
- A
Política de Proteção aos Dados
da União Européia (European Union Data
Protection Directive) exige que todos os membros da
União Européia aprovem uma legislação
de controle da confidencialidade e integridade em redes,
sistemas e dados que contenham informações
pessoais. Embora a maioria das regulamentações
nos Estados Unidos aborde apenas o relacionamento direto
entre uma empresa e seus clientes externos, a política
de proteção aos dados da União
Européia inclui expressamente as informações
pessoais de funcionários, além das informações
de clientes.
Atualmente, o desafio de estar em conformidade
com as regulamentações é uma tarefa árdua.
De acordo com uma pesquisa realizada recentemente pela
InformationWeek envolvendo 200 profissionais de tecnologia,
80% afirmaram que o desafio começa ao tentar
determinar se a empresa atende à necessidade
de estar em conformidade com padrões e regulamentações.
Além disso, mais de 60% dos entrevistados declararam
que os custos envolvidos na adoção de
padrões e regulamentações irão
aumentar este ano.
O panorama é desanimador:
embora já trabalhem
com restrições de recursos, as empresas
enfrentarão uma crescente pressão dos órgãos
regulamentares, além do desafio de permanecer
rentável em um ambiente de ameaças cibernéticas.
Que medidas podem ser adotadas para reduzir o esforço
de permanecer em conformidade com todas as regulamentações?
Vamos analisar algumas delas. Não é necessário
reinventar a roda
Um pesquisador da Gartner Inc. observou em um recente
relatório (“IT Security Technologies
Can Address Regulatory Compliance”, fevereiro
de 2004) que os processos de gerenciamento de vulnerabilidades
e gerenciamento de segurança de TI são
fundamentais para garantir a segurança geral
das informações. Tais processos ajudam
também a demonstrar a conformidade com vários
aspectos das regulamentações descritas
acima. Em particular, a Gartner sugere que adotar
os processos e tecnologias a seguir proporciona os
elementos necessários para estar em conformidade
com as regulamentações:
- Políticas
de gerenciamento de acesso e identidade para definir
os controles de acesso aos recursos
e aplicativos de informática;
- Políticas
de configuração para
definir como os recursos de TI devem ser configurados
para que sejam seguros;
- Uma infra-estrutura de segurança
de TI para proteger uma empresa contra intrusões
e ataques externos;
- Processos de gerenciamento de
vulnerabilidades para descobrir e reduzir as vulnerabilidades
e brechas
nas políticas de segurança;
- Procedimentos
e ferramentas de monitoração
eficazes para detectar ameaças internas
e externas.
A principal recomendação da
Gartner é implementar
processos e tecnologias de gerenciamento de vulnerabilidades
e de segurança de informática para
que a infra-estrutura de TI seja mais segura e esteja
bem protegida. Isso também ajuda a melhorar
a capacidade da empresa em demonstrar a conformidade
com uma série de regulamentações.
Há mais
a fazer
O que mais as empresas podem fazer para
diminuir o esforço envolvido na conformidade
com as regulamentações? A Symantec
recomenda que as empresas aliem as políticas
de segurança à estratégia
de negócios, que sejam rigorosas ao treinar
seus funcionários e que sejam consistentes
na adoção de políticas. Além
disso, elas devem:
- Lançar políticas
de segurança
específicas, com enfoque nos principais
processos e nos comportamentos mais importantes
para a estratégia e os objetivos dos negócios;
- Documentar
os padrões de segurança fundamentais que englobem todos os componentes
da infra?estrutura de informática;
- Avaliar
rigorosamente se os sistemas estão
em conformidade com as políticas e os padrões
de segurança técnica e reparar
os desvios imediatamente;
- Informar aos funcionários, que são
a chave para o sucesso, sobre o motivo da criação
de políticas e padrões.
Vantagens
inesperadas
Embora a conformidade com regulamentações
e padrões represente uma missão difícil,
as empresas têm usufruído de benefícios
inesperados. Por exemplo, 40% dos entrevistados pela
InformationWeek afirmaram que a busca pela conformidade
ocasionou diversas mudanças. As regulamentações
de segurança e privacidade do HIPAA, em vigor
desde o ano passado, fez com que alguns fornecedores
de serviços de saúde implementassem sistemas
eletrônicos de registros médicos, passando
a armazenar os históricos de pacientes em bancos
de dados centralizados, em vez de impressos em papel
vulneráveis a perda e mau uso.
De acordo com
a Deloitte, especialista em consultoria, a implementação
dos requisitos da lei Sarbanes-Oxley trará diversos
resultados, além
dos esperados. A Deloitte prevê os seguintes “resultados
desejáveis” para as empresas:
- Compatibilidade
com SEC
- Estrutura documentada dos meios de controle
internos
- Transparência comprovada da eficácia
dos meios de controle
- Monitoração
eletrônica contínua
de medidas de aprimoramento dos meios de controle
- Desenvolvimento
de documentação consistente
dos meios de controle, a qual poderá ser aproveitada
por diversas unidades da empresa
- Processos aprimorados
e simplificados
Algumas empresas comparam seus planos
de adoção
da regulamentação Sarbanes-Oxley com
os esforços para enfrentar o bug do milênio,
ou seja, como uma oportunidade para implementar alterações
globais que, eventualmente, irão melhorar seus
resultados financeiros. Alguns executivos de instituições
financeiras notaram, inclusive, que os requisitos de
relatórios rápidos da lei Sarbanes-Oxley
promoveram o surgimento da chamada “empresa em
tempo real”.
Por fim, como muitos analistas observaram,
as empresas começam a perceber que as regulamentações
significam simplesmente a implementação
de práticas recomendadas de segurança. Não fique para trás
A conformidade com regulamentações tem
atraído mais atenção do que nunca.
Essencialmente, ela por ser considerada uma iniciativa
empresarial da máxima importância. E isso
envolve grandes riscos: a falta de conformidade pode
custar caro e resultar na perda de negócios
e da confiança dos clientes, além de
envolver responsabilidades financeiras e legais. Por
essa razão, as empresas necessitam de um mecanismo
que assegure a confidencialidade, a integridade e a
disponibilidade de informações vitais;
em outras palavras, um sistema pró-ativo de
segurança de informações. Esse
sistema evita a luta pela conformidade com as regulamentações,
pois assegura que as pessoas, as tecnologias e os processos
corretos trabalhem juntos na avaliação
dos riscos e na implementação da proteção.
E, no ambiente atual de ameaças crescentes e
constantes, as empresas não podem deixar por
menos.
Links Relacionados:
|
|
|
