Cinco benefícios despercebidos dos programas de conformidade de TI

A comunidade de segurança da informação passa muito tempo preocupada com os custos da conformidade e dos programas de gestão de risco que ficam escondidos. Mas e os benefícios que não são vistos? Executivos criativos de tecnologia podem achar maneiras de ganhar muito mais valor, além da mitigação de problemas ou da conformidade regulamentar. Só é preciso saber onde procurar. De acordo especialistas, há uma infinidade locais prováveis para isso.

“Gosto de enfatizar aos meus clientes que apesar de muitas empresas inicialmente contratarem auditoria em TI para ir ao encontro da conformidade, deveriam reconhecer o valor dos dados coletados e tentar descobrir uma maneira de usá-los para eliminar o desperdício”, comentou Jason Creech, diretor da política de conformidade da Qualys.

1. Gerenciamento de ativos e de licenças

Um dos primeiros benefícios escondidos de programas de conformidade e auditoria é a visibilidade que os investimentos tecnológicos podem levar aos padrões de uso dos sistemas e softwares. Essa informação pode ser usada para identificar sistemas pouco usados ou oportunidades para grandes investimentos em licenciamentos ou atualizações. Por exemplo, Creech afirmou que trabalhou em uma empresa que economizou cerca de US$ 2 milhões simplesmente ao eliminar sistemas que sua ferramenta de auditoria mostrou que não eram usados há um ano.

Tim “TK” Keanini, diretor de pesquisa da nCircle, afirma que “programas de GRC [gestão de risco e compliance] de TI com conhecimento preciso da exata versão do software que está sendo executado em cada local pode dar uma estimativa precisa no caso do planejamento ou justificativa de uma atualização de software. Esses dados também ajudam  a gerenciar acordos de licença e monitorar efetivamente o software open source implantado na rede”.

Nessa era de penalidades rígidas e processos perpetrados pelo Business Software Alliance (BSA), o valor adicionado de uma ferramenta de auditora que pode dobrar o cuidado não apenas enumera os aplicativos licenciados como, também, os sem licença, o que pode gerar enormes ganhos ao evitar mais do que apenas riscos com malware.

2. Agilidade em operações de TI

Muitas vezes, a implantação de ferramentas de monitoramento de segurança para satisfazer as exigências da conformidade pode revelar resultados que não tenham nada a ver com segurança, afirma Matthew Gardiner, gerente sênior da unidade de Gerenciamento de segurança e conformidade da RSA.

“Como resultado de seus esforços em aplicar análise de segurança para detectar atividades de risco ou anômalas, acabam descobrindo pessoas, processos e sistemas que não sabiam estar implantados ou gerenciados de forma ineficiente. Esses esforços para melhorar o controle de TI do ponto de vista da segurança geralmente leva à melhoria do controle operacional”.

3. Rede inteligente e soluções de problemas.

Utilitários de monitoramento, como ferramentas de informação de segurança e gerenciamento de eventos (Siem – security information and event management), são ótimos para correlacionar incidentes de segurança, mas também são úteis como ferramentas de soluções de problemas durante os projetos amplos de implantação de rede, afirmou John Mensel, diretor de serviços de segurança para a Concept Technologies. Ele acredita que a abrangência dos registros mantidos para fins de conformidade, combinados com a análise de Siem, podem dar a muitas empresas uma grande ajuda na identificação de problemas técnicos.

Da mesma forma, as ferramentas automatizadas e avaliação de vulnerabilidade também têm seu valor escondido. “Essas ferramentas fornecem uma ampla rede de inteligência além dos dados de vulnerabilidade e pode servir como uma verificação dupla em outras ferramentas. Uso com frequência a Tenable Nessus como uma ferramenta de inventário: ao comparar os resultados de exame em toda a rede Nessus com os resultados gerados pelas minhas principais ferramentas de inventário, encontro dispositivos e software que não teriam sidos vistos de outra forma”.

4. Manter fornecedores terceirizados na linha

Muitas das empresas que dependem de empresas terceirizadas para lidar com o volume de suas operações de TI ainda têm o controle de suas funções de gerenciamento de risco e conformidade por razões de segurança. Em situações como essas, as ferramentas automatizadas executando o programa de conformidade podem oferecer dados úteis no gerenciamento de fornecedores terceirizados.

5. Inteligência de negócio e melhoria do processo

Talvez o benefício escondido de maior impacto dos programas de conformidade para todas as empresas sejam as análises que podem oferecer dados para melhorar o processo do negócio.

Caroline Leies, diretora da MorganFranklin, já testemunhou inúmeros exemplos de empresas com esse tipo de efeito colateral positivo. Por exemplo, em uma delas, um responsável por um processo usado com propósito da conformidade por quatro meses conseguiu coletar tendências e perceber que havia maneiras mais eficientes recebimento e transferências de estoque na organização.

Em outro exemplo, o departamento de tesouraria de uma grande empresa descobriu melhores maneiras de gerenciar contas após examinar os controles de suas contas por causa das regras de conformidade.

Traduções: Alba Milena, especial para o IT Web | Revisão: Adriele Marchesini

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *