Compliance com HIPAA, PCI e host de outros regulamentos e leis muitas vezes é visto pelos empresários como apenas um projeto caro de TI. “Apenas jogue a tecnologia nisto e me avise quando estiver tudo pronto”. Bem, não é assim que funciona.

Alguns profissionais de TI vão aceitar essa abordagem, pois lhes concederá mais força e reduzirá a supervisão do seu trabalho. Afinal, lidar com um chefe desinteressado e não técnico não é divertido nem efetivo. As organizações mais administradas têm gestores que entendem o seu importante papel em compliance.

Aqui estão seis coisas que eu acredito que executivos seniores e empresários devem entender para ter suas empresas compatíveis com os padrões exigidos, com as leis e regulamentos.

1.Compliance não é uma tarefa de casa – é como a sua organização opera todos os dias

Claro, você pode optar por uma auditoria para cada ocasião, mas as auditorias não são uma verificação do que você fez no dia de hoje. As auditorias são uma vistoria de como opera diariamente: o que é processo, como é gerido e monitorado e como você pode melhorá-lo?

2. A administração tem responsabilidades que não podem ser delegadas

Por exemplo, nunca deve ser responsabilidade da equipe de TI ter que decidir por quanto tempo se deve manter emails arquivados. Essa é uma decisão legal que deve ser definida na política da administração, gerida por processos de TI e verificada por qualquer gestão ou alguém que não seja da TI.

3. Os sistemas não são compatíveis – organizações são compatíveis

Os sistemas informáticos não funcionam a vácuo. Eles são ferramentas para os trabalhadores. Empresas são pessoas que usam ferramentas para fazer algo. Compliance diz respeito a como as coisas funcionam, não apenas as ferramentas.

4. Os funcionários e processos de negócios são geralmente um problema muito maior para conformidade e segurança de sistemas informáticos

Estudo após estudo constatou que muitos problemas resultam de processos falhos e comportamentos desleixados de funcionários do que falhas de rede.

5. A Administração não tem que se tornar técnica, mas tem de exigir da sua equipe técnica uma comunicação eficaz

Com frequência, os altos executivos delegam as suas responsabilidades de liderança, acreditando que eles não podem compreender todos os detalhes técnicos da mesma forma que o seu pessoal. Eu defendo que eles não devem se tornar técnico, mas eles devem exigir da sua equipe técnica um negócio familiarizado. Linguagem simples é a melhor ferramenta de negócios, assim todas as especialidades em um negócio podem ser discutidas de forma sensata.

6. Auto-avaliação precisa é extremamente difícil

Quanto mais afastado dos aspectos do dia a dia de um negócio ou departamento apto a ter problemas você estará. Mesmo que não seja necessário, um auditor externo (ou mesmo alguém de outro departamento) pode ser mais eficaz, a um custo menor, do que seus próprios funcionários gastando horas para ver além de seus próprios filtros mentais.

A liderança organizacional não pode delegar compliance.

Fonte: Information Week