4 dicas para implementar governança, riscos e compliance

Impulsionadas principalmente por exigências de conformidade com a Lei Sarbanes-Oxley, de 2002, muitas organizações estão adotando ferramentas de governança, risco e conformidade (GRC) para ajudar a gerenciar atividades nessas três áreas. Plataformas e conjuntos de soluções para automatizar coleta, correlação e comunicação de informações oferecem um quadro mais amplo de como a empresa está, mas também mapeiam se organização está em linha com a lei e o gestão de riscos.

Mas há muitos fatores a considerar para identificar de que forma é possível investir na tecnologia e ainda para avaliar como o conjunto de GRC vai fornecer as informações de que a organização precisa.

Membros do Wisegate, um grupo de networking online composto por CSOs e CISOs, compartilharam experiências e dicas para implementar uma estratégia de GRC de sucesso. Veja a seguir quatro recomendações que eles fazem:

Dave Notch, CISO, da Thomson Reuters, agência de notícias especializada em economia

A grande sacada é não tentar obter a perfeição. Tenha uma abordagem mais iterativa. Isso permite que você progrida e aprenda quais são os requisitos. O que me leva ao meu segundo ponto: preparar-se para jogar fora alguns dos trabalhos já realizados. Não tome isso como algo pessoal, é apenas parte do processo de aprendizagem.

Verifique seus ativos. Se você não sabe o que tem na empresa, vai ser difícil quantificar o que está errado. Nós, por exemplo, diferenciamos nossos ativos em três categorias e elas tornaram-se lentes para olharmos tudo na companhia.

Forme uma equipe legal que inclua diferentes áreas, como RH, produto, TI e segurança. Isso torna mais fácil o trabalho quando você precisar lidar com os diferentes setores.

Kristen Knight, diretora sênior de Privacidade na Philips Electronics North America

Certifique-se de compreender os impactos operacionais do produto antes de se comprometer com ele. Produtos de GRC são abrangentes por natureza. Mesmo os altos executivos da companhia serão impactados pela implementação dessa, por isso verifique se estão dispostos a participar dessa mudança.

Implementar programas de treinamento é outra dica importante para que eles se adaptem ao novo sistema. Na Philips Electronics, se eu tivesse compreendido o produto completamente antes de comprá-lo, teria percebido a improbabilidade de um treinamento direcionado para executivos ocupados.

Por meio de processos bem definidos, a companhia pode amadurecer e lidar com a capacidade de fluxo de trabalho que uma ferramenta de GRC estabelece. O aspecto do fluxo de trabalho de algumas soluções pode exigir que todos na organização entendam o seu uso.

Reconheça que a implementação pode consumir muito mais tempo do que o esperado. Ao mesmo tempo, não tenha medo se a implementação não está indo bem. Você acabou de fazer a tecnologia funcionar.

Tom Malta, executivo sênior de tecnologia de risco do setor de serviços financeiros que atua em empresas como Goldman Sachs, Morgan Stanley da BNY Mellon

Entenda que GRC é uma abordagm que exige cuidados. Um programa baseado nessa estratégia deve ter políticas adequadas, procedimentos e fluxo de trabalho. Comunique de forma extensiva. Faça com que todos usem as ferramentas, mesmo que seja de forma gradual.

Conseguir um bom framework de GRC não está relacionamento apenas com a escolha e uma boa ferramenta, ações simples podem ser adicionadas ao programa para ajudar a gerenciar iniciativas de risco e compliance, como a adição de indicadores de desempenho (KRI/KPI).

Jeff Bardin, CISO sênior do Banco Bank & Trust, State Street Bank e Grupo Hanover Insurance

Considere realizar uma prova de conceito (POC) para todos os módulos da ferramenta. Se a POC for bem-sucedida, então você deve seguir em frente. Se possível, na sequência desse processo, tente reduzir custos e ajude a desenvolver um conjunto de ferramentas de trabalho mais rápido.

A maioria das ferramentas de GRC que vem com conectores que permitem rápida integração com outras tecnologias de segurança e alimentações de dados. Use-as para reduzir tempo e custos.

Fonte: ComputerWorld

Sou bacharel em Sistemas de Informação pela Estácio de Sá (Alagoas), especialista em Gestão Estratégica da Tecnologia da Informação pela Univ. Gama Filho (UGF) e pós-graduando em Gestão da Segurança da Informação pela Univ. do Sul de Santa Catarina (UNISUL). Certificações que possuo: EC-Council CEH, CompTIA (Security+, CySA+ e Pentest+), EXIN (EHF e ISO 27001), MCSO, MCRM, ITIL v3. Tenho interesse por todas as áreas da informática, mas em especial em Gestão e Governança de TI, Segurança da Informação e Ethical Hacking.

Deixe um comentário

O seu endereço de e-mail não será publicado.