conformidade de ti

RSA, a divisão de segurança da EMC

Desenvolvendo um programa sustentável e econômico de conformidade com TI

Abril de 2008

Preparado por: Michael Rasmussen Presidente

Corporate Integrity, LLC Waterford, Wisconsin 53185

Telefone: +1.262.534.9188 E-mail: [email protected]

Web: www.Corp-Integrity.com

mailto:[email protected]

http://www.corp-integrity.com/

RSA, a divisão de segurança da EMC 2 Desenvolvendo um programa sustentável e econômico de conformidade com TI

© 2008, Corporate Integrity, LLC. Todos os direitos reservados. Esta pesquisa foi encomendada pela RSA, a divisão de segurança da EMC. A RSA, a divisão

de segurança da EMC possui os direitos de distribuição total desta pesquisa e do material nela contido. Qualquer forma de reprodução sem permissão expressa é terminantemente proibida.

Para obter direitos de reprodução, informações sobre uso e para adquirir cópias, entre em contato com [email protected]. As informações foram baseadas nos melhores recursos disponíveis.

As opiniões refletem o julgamento no momento e estão sujeitas a alterações. www.Corp-Integrity.com

Índice SUMÁRIO EXECUTIVO .....................................................................................................................................3

IMPACTO DA CONFORMIDADE NA TI...... ......................................................................................................4 A SEGURANÇA DE TI EVOLUIU ...........................................................................................................................5 A TI TEM UM PAPEL DUPLO EM CONTROLE, RISCO E CONFORMIDADE..................................................................... 6

TRANSFORMANDO A CONFORMIDADE COM TI DE REATIVA A PROATIVA .................................................7 A CONFORMIDADE PROATIVA COM TI SIMPLIFICA A TI E REDUZ CUSTOS ................................................................. 8 A CONFORMIDADE PROATIVA COM TI CONDUZ À INTELIGÊNCIA NORMATIVA E DE RISCOS ....................................... 9

CONFORMIDADE PROATIVA COM TI REQUER UMA ESTRUTURA COMUM..................................................10 DEFININDO A ESTRUTURA ...................................................................................................................................... 10 ESTÁGIO FINAL DA CONFORMIDADE COM TI — DEFINIR UMA VEZ E CUMPRIR COM MUITAS .................................... 11 ABORDANDO A CONFORMIDADE PROATIVA COM A ISO 27002 .......................................................................... 11

POR ONDE COMEÇAR A DESENVOLVER UM PROGRAMA SUSTENTÁVEL E EFETIVO DE CONFORMIDADE COM TI?......................................................................................................................14 SOBRE O AUTOR: ...........................................................................................................................................16

MICHAEL RASMUSSEN, PRESIDENTE ....................................................................................................................... 16 CORPORATE INTEGRITY, LLC ................................................................................................................................ 16

NOTAS............................................................................................................................................................17






Sumário executivo Cumprir com as leis e as normas é uma carga crescente para as empresas, da diretoria às bases do negócio. Ao longo dos últimos dez anos houve um impacto significativo e crescente da conformidade normativa, especialmente no departamento de TI. Resumindo: os negócios são complexos e globais, e a demanda para que a TI cumpra um conjunto de leis e normas está exigindo que ela mude e se adapte. São vários os desafios de conformidade normativa que sobrecarregam a TI; isso colocou a TI na posição desagradável de ter que responder às normas, quando deveria estar gerenciando proativamente os controles e os riscos de TI.

Uma abordagem reativa à conformidade com TI é uma fórmula para o desastre e leva a uma escalada nos custos de conformidade, falta de visibilidade do ambiente de controle como um todo, uso ineficiente ou desperdiçado de recursos, complexidade desnecessária, falta de flexibilidade, vulnerabilidade e exposição.

Uma abordagem proativa à conformidade significa ter uma visão global. Enquanto uma abordagem reativa de conformidade com TI conduz a maior exposição, complexidade e custos para fins de conformidade, uma abordagem proativa fortalece o departamento de TI, reduz os riscos de exposição e usa eficientemente os recursos.

Uma abordagem proativa de conformidade com TI conduz a uma empresa voltada para o futuro, minimizando o risco no curso dos negócios, em vez de tentar resolver os problemas reagindo ao risco e controlando as questões à medida que aparecem. Um programa efetivo de conformidade com TI deve centrar-se em uma única estrutura de trabalho e operar em harmonia com outras. A estrutura mais flexível para uma abordagem proativa do risco e da conformidade de TI é a ISO/IEC 27002:2005 (ISO 27002). O propósito de uma estrutura de trabalho comum para definir a arquitetura de controle em um programa de conformidade com TI é definir os controles uma vez e demonstrar a conformidade com uma gama de requisitos e normas. Isso também permite à empresa monitorar continuamente o risco no dinâmico e extenso ambiente de negócios atual.

Não se consegue desenvolver um programa sustentável e efetivo de conformidade com TI da noite para o dia. A empresa precisa de uma estratégia. As empresas que procuram desenvolver um programa proativo de conformidade com TI focalizado na sustentabilidade e na efetividade devem seguir os cinco passos seguintes:

1. Estabelecer o seu estatuto de conformidade e risco de TI. 2. Desenvolver a sua estrutura e política de conformidade e risco de TI. 3. Avaliar o estado atual da conformidade com TI. 4. Determinar o estado desejado da conformidade com TI. 5. Medir, avaliar e informar.






Impacto da conformidade sobre a TI As empresas enfrentam um amplo conjunto de desafios normativos. Cumprir com as leis e as normas é uma carga crescente para as empresas, da diretoria às bases do negócio. Os reguladores ao redor do mundo têm concentrado as normas em numerosas áreas: emprego/trabalho, comércio global, anticorrupção, controles financeiros/de contabilidade — a lista continua. Vários setores — como ciências biomédicas, bancos, seguradoras e serviços públicos — também recebem um maior grau de controle normativo.

Muitas áreas de negócios sofreram o impacto da conformidade normativa. Nos últimos dez anos, o impacto sobre o departamento de TI especificamente foi significativo e crescente. Quanto mais amplos e distribuídos os negócios, mais desafiantes são os riscos e as demandas de conformidade sobre a TI. Os CIOs (Chief Information Officers, diretores-executivos de informação), munidos dos relatórios de seus CISO/CRO (Chief Information Security/Risk Officer, diretor de segurança/risco das informações), ficaram desnorteados ao tentar gerenciar a conformidade com um complexo conjunto de requisitos.

Os geradores de conformidade que causam impacto sobre a TI incluem:

Exigências de controle. Existe um controle sobre como os negócios são conduzidos. A maior parte dessa atenção se concentrou em práticas de contabilidade financeira segundo esquemas normativos como Sarbanes-Oxley, King II, Turnbull, J-SOX e EU Directives. A maior parte da atenção sobre práticas de contabilidade tem um efeito sobre os controles de TI, porque a TI sustenta os sistemas e processos de contabilidade subjacentes.

Privacidade das informações. Empresas em todo o mundo ficaram desnorteadas com as normas de privacidade. Muitas dessas normas se originam nos Princípios de privacidade da OCDE (Organization for Economic Cooperation and Development, Organização para a cooperação e o desenvolvimento econômico), cujos frutos são encontrados na Diretiva de Proteção de Dados da UE (95/46/EC, "Directive"), na PIPEDA (Personal Information Protection in Electronic Documents Act, lei sobre proteção de informações pessoais em documentos eletrônicos) do Canadá e na PIPA (Personal Information Protection Act, lei sobre proteção de informações pessoais) do Japão. Por outro lado, os Estados Unidos não responderam com leis e normas de grande alcance sobre privacidade. Pelo contrário, concentraram a atenção em mercados verticais específicos, como saúde e serviços financeiros, aprovando a HIPAA (Health Insurance Portability and Accountability Act, lei de responsabilidade e mobilidade de seguros de saúde) e a GLBA (Gramm-Leach Bliley Act). Além disso, a maioria dos estados dos E.U.A. implementaram variados — e às vezes contraditórios — graus de legislação sobre privacidade, na forma de leis de divulgação obrigatória.

Supervisão do governo. Normalmente, as normas não geram resposta da TI sem um pouco de pressão por parte do governo. i Essa é uma questão importante nos Estados Unidos. Os legisladores aprovaram a HIPAA em 1996, mas os hospitais foram lentos em responder, até que a HHS (Health and Human Services, serviços humanos e sanitários dos Estados Unidos) iniciou um processo contra um hospital de Atlanta no ano passado.ii Enquanto isso, os serviços financeiros foram rápidos em responder a exigências semelhantes da GLBA porque os reguladores financeiros dos Estados Unidos foram agressivos na avaliação da conformidade com TI.iii Organizações do governo, como a U.S. Federal Trade Commission (comissão de comércio federal dos Estados Unidos), foram rápidas em garantir o cumprimento de segurança e privacidade de TI em mercados verticais por meio de uma variedade de compromissos de cessação. Um CISO em um banco de médio porte colocou uma mesa adicional em seu escritório, porque havia grandes possibilidades de que, a qualquer momento, um regulador financeiro realizasse análises normativas e precisasse de um espaço de trabalho próximo ao seu.






Litígio. A maior preocupação com a falta de conformidade não vem das multas e sanções aplicadas pelo governo. As organizações ficam terrivelmente assustadas quando os reguladores estabelecem uma forma de medir a negligência que pode ser usada contra elas em ações civis. Existe uma preocupação crescente que a organização possa enfrentar litígios sobre perda de dados e violação de privacidade — o ápice dessa preocupação é o medo de uma possível ação judicial coletiva caso a perda afete vários acusados.

Parceiros de negócios. A pressão para cumprir a conformidade não vem somente dos reguladores, mas também dos parceiros de negócios. As organizações são desafiadas para demonstrar não só a sua própria conformidade com as leis, mas também a conformidade com seus parceiros de negócios. Mesmo onde as normas não estão presentes atualmente, existe uma tendência crescente para garantir que os parceiros de negócios na cadeia de fornecimento possam demonstrar um nível adequado de controle de segurança. Um gerente de segurança de uma empresa industrial líder em alta tecnologia estava tendo dificuldades para que entendessem a necessidade de proteção da propriedade intelectual, mas foi capaz de mudar essa percepção quando começou a discutir a proteção da propriedade intelectual de um importante parceiro de negócios.

Distribuição geográfica. Já é suficientemente desafiador cumprir com um complexo conjunto de leis e normas quando as operações se realizam em uma única jurisdição ou país. A tarefa se torna verdadeiramente assustadora à medida que as organizações enfrentam uma expansão dos negócios, a globalização e a uma rede de parceiros de negócios distribuídos ao redor do mundo. Um importante varejista está tentando definir como manter-se atualizado em relação às leis e normas que mudam constantemente e influenciam suas operações de TI em catorze países. O assunto torna-se ainda mais desafiador quando diferentes ambientes normativos têm exigências contraditórias, como exemplificado pelas questões acontecidas nos últimos anos entre a legislação do Canadá (PIPEDA) e a lei antiterrorismo dos EUA (U.S. Patriot Act).

A segurança de TI evoluiu Resumindo: os negócios são complexos e globais, e a demanda para que a TI cumpra um conjunto de leis e normas está exigindo que ela mude e se adapte.

A segurança não consiste somente em afastar hackers, vírus e worms — ela evoluiu para uma complexidade de processos de conformidade e gerenciamento de riscos. Isso envolve proteção da propriedade intelectual e de segredos comerciais, gerenciamento da conformidade com TI, monitoração do risco de informações e validação dos controles nas relações de negócios.

Essa mudança na TI causou uma evolução da definição de segurança e de sua abordagem em negócios mais amplos. A segurança está evoluindo de um departamento técnico totalmente dedicado às operações de TI a um departamento com significativa capacidade de gerenciamento de riscos e discernimento legal — que não entende apenas a tecnologia, mas também os ambientes legais, de negócios e de riscos nos quais opera. Enquanto o gerente de segurança de ontem era um tecnólogo, o de hoje precisa ter competência legal e de negócios. Os tradicionais departamentos de segurança de TI são agora chamados com freqüência de departamentos de riscos de informações.






A TI tem um duplo papel em controle, risco e conformidade Tanto os negócios como a TI também estão respondendo à tendência de colaboração crescente entre negócios em GRC (Governance, Risk and Compliance, controle, risco e conformidade). A TI tem um papel importante e possibilita as iniciativas de GRC nas organizações. O papel da TI em GRC é duplo porque, por um lado, a TI deve gerenciar as suas próprias questões de GRC e, por outro, a TI se torna um habilitador e automatizador de GRC para o negócio.

Isso originou uma perspectiva e um relacionamento entre o GRC corporativo e o GRC da TI. O GRC corporativo envolve as questões que causam impacto sobre o negócio fora da TI — esses são os elementos que mantêm os executivos (por exemplo, CRO, CCO) acordados à noite mas que a TI pode ajudar a automatizar e monitorar. Por outro lado, existem questões de GRC que ficam em mãos de CIO e CISO e os mantêm acordados à noite — aí é que entra o GRC de TI.

O gerenciamento de riscos/segurança de TI tem atualmente uma interessante função na dicotomia do GRC — ele acaba sendo o ponto de interseção que conecta o GRC de TI com o GRC corporativo.






Transformando a conformidade com TI de reativa a proativa São vários os desafios de conformidade que sobrecarregam a TI, e isso tem colocado a TI na posição desagradável de ter que responder às normas quando deveria estar gerenciando proativamente os controles e os riscos de TI. Para que a segurança de TI possa ter um papel eficiente e efetivo em conformidade com TI, é necessário que a TI construa uma base sólida para gerenciar e automatizar os processos de risco e conformidade com TI.

Uma abordagem reativa da conformidade com TI é uma fórmula para o desastre e conduz a:

Custos crescentes de conformidade. Enquanto a organização se ocupa em resolver problemas individuais de conformidade com TI, os custos disparam. Gasta-se dinheiro em questões individuais para manter os auditores e reguladores acuados, sem pensar em como esses recursos poderiam ser usados inteligentemente para cumprir com uma série de necessidades de conformidade com TI. Ninguém está tendo uma visão global e olhando para a prevenção do problema por meio de uma abordagem proativa à conformidade com TI.

Falta de visibilidade. Uma abordagem reativa à conformidade leva a iniciativas de conformidade isoladas que não permitem ter uma visão global. Ninguém está pensando em como os controles de TI poderiam ser projetados para cumprir com uma série de necessidades de conformidade. O resultado é uma visibilidade limitada na organização de TI e de seu ambiente de controle, sem uma estrutura de trabalho ou arquitetura consistente para gerenciar os controles.

Uso desperdiçado ou ineficiente de recursos. Pontos isolados de conformidade com TI levam a recursos desperdiçados. Em vez de aproveitar controles e recursos para cumprir uma gama de necessidades de conformidade, eles são desenvolvidos independentemente e sem preocupação com seu aproveitamento. O departamento de TI acaba tendo diferentes processos internos, sistemas, controles e tecnologias para cumprir com a conformidade. Muitos desses processos e controles poderiam ter sido simplificados por meio de uma abordagem comum do controle de conformidade e risco de TI.

Complexidade desnecessária. Abordagens variáveis da conformidade com TI apresentam maior complexidade à TI. Com a complexidade, aparece um inerente aumento do risco. A complexidade provavelmente indica que os controles não foram simplificados ou gerenciados de forma consistente e apresenta mais pontos em que os controles podem falhar. A inconsistência nos controles também significa inconsistência na documentação dos mesmos: o que confunde ainda mais a TI, os reguladores e os parceiros de negócios.

Falta de flexibilidade. A complexidade gera inflexibilidade. A organização de TI se torna tão concentrada em acionar uma enorme quantidade de processos de conformidade que o desempenho, o desenvolvimento e o suporte de TI aos negócios são degradados. Os desenvolvedores e os negócios ficam completamente confundidos em um labirinto de diversas abordagens e requisitos de controle, abordados sem nenhuma consistência ou lógica.

Vulnerabilidade e exposição. Uma abordagem reativa conduz finalmente a uma maior exposição e vulnerabilidade. Isto é mais um resultado da complexidade: todos estão concentrados em sua área específica de conformidade e ninguém tem uma visão global. Ninguém está vendo os controles de maneira abrangente. A atenção está voltada para o que se encontra exatamente defronte deles, e não para o que o negócio precisa fazer para se proteger a longo prazo. Esforços de conformidade com TI variáveis e independentes conduzem a dificuldades para demonstrar a aplicação e auditar a conformidade.






As questões precedentes de uma abordagem reativa à conformidade com TI se somam umas às outras. A falta de visibilidade acarreta o uso desperdiçado e ineficiente dos recursos. Os recursos desperdiçados devido a abordagens variáveis de TI acarretam complexidade. A complexidade e a inflexibilidade resultam em maior vulnerabilidade e exposição para a organização.

A conformidade proativa com TI simplifica a TI e reduz custos Uma abordagem proativa à conformidade implica uma visão geral — enxergar a floresta além das árvores. Por outro lado, uma abordagem reativa de conformidade com TI conduz a maior exposição e complexidade, uma abordagem proativa fortalece o departamento de TI e reduz os riscos de exposição.

As organizações que procuram construir um programa proativo de conformidade com TI podem gerenciar seus custos por meio de:

Sustentabilidade. As demandas de conformidade com TI não estão ficando mais simples — elas estão crescendo em número e complexidade. A conformidade não se trata mais de auditorias anuais; ela agora envolve uma supervisão continua à medida que o negócio muda. Os negócios mudam rapidamente — particularmente o departamento de TI. Usuários são adicionados, trocam de função e se vão. São estabelecidas novas conexões com parceiros de negócios — outras são desfeitas. A infra-estrutura e as aplicações da TI se consertam, e as configurações mudam. A conformidade precisa ser uma parte contínua dos processos de TI. Isso só é possível se a organização tem uma abordagem estratégica para gerenciar controles de iniciativas de conformidade. Uma abordagem proativa para supervisar e fortalecer a conformidade conduz a um gerenciamento sustentável dos riscos e da conformidade de TI.

Consistência. Uma abordagem proativa à conformidade com TI fundamenta a consistência dos controles de conformidade em toda a empresa. A visão global é mantida. O programa proativo de conformidade com TI relaciona os controles em uma estrutura de trabalho comum, impulsionando os controles existentes e evitando controles e processos redundantes. Isso resulta em uma organização que acha mais fácil de abordar, interpretar e gerenciar a conformidade.

Eficiência. A consistência conduz à eficiência. À medida que a organização procura aproveitar os controles e processos de TI existentes, visando à consistência, existe uma redução nos recursos necessários para cumprir com os requisitos de conformidade. Os negócios também acham mais fácil a conformidade, porque têm uma visão consistente dos processos de conformidade com TI e enfrentam demandas reduzidas de avaliação da mesma.

Transparência. Um programa proativo de conformidade com TI construído em uma estrutura comum para a conformidade com TI acarreta uma maior transparência. Informar sobre a conformidade se torna um processo simples em vez de um labirinto de relatórios sobre abordagens redundantes e inconsistentes.






A conformidade proativa com TI conduz à inteligência normativa e de riscos

Uma abordagem proativa de conformidade com TI conduz a uma empresa voltada para o futuro, minimizando o risco no curso dos negócios, em vez de tentar resolver os problemas reagindo ao risco e controlando as questões à medida que aparecem. A inteligência normativa e de riscos é um componente-chave da conformidade com TI proativa, à medida que as organizações objetivam superar o ambiente normativo.

As empresas reativas não sabem como será o próximo conjunto de normas. Na ausência de um programa de conformidade proativo, elas são forçadas a responder de uma das seguintes formas:

1. Reagindo aos novos requisitos à medida que aparecem, ou 2. Sendo pegas desprevenidas por algo que ignoram completamente.

As empresas com um programa proativo de conformidade com TI estão vendo para onde os acontecimentos apontam. Elas entendem as questões táticas de curto prazo mas também têm a habilidade de enxergar as questões estratégicas de longo prazo. Um programa proativo de conformidade supervisa continuamente o ambiente externo que causa impacto sobre os próprios negócios, como legislação iminente, casos nos tribunais, riscos geopolíticos e as novas ameaças que estão surgindo. Isso faz da TI um valioso elemento no gerenciamento de riscos corporativos. A TI é uma ativadora que ajuda proativamente a organização a lidar com o que possa surgir.






Conformidade proativa com TI requer uma estrutura comum Uma boa casa se constrói sobre alicerces sólidos. No caso da conformidade com TI, uma abordagem proativa requer uma base sólida construída sobre uma estrutura de trabalho comum. Se várias pessoa construindo uma mesma casa tivessem projetos diferentes, o resultado seria desastroso. A forma de conseguir sustentabilidade, consistência, eficiência e transparência na conformidade com TI consiste em projetar processos de controle e conformidade sobre uma estrutura de arquitetura comum.

Do ponto de vista da empresa, não existe uma estrutura única que possa cumprir com o conjunto completo de necessidades de conformidade de toda a empresa. Para que uma empresa alcance uma visão do GRC que abarque toda a empresa, é necessário que a estrutura de conformidade com TI se ajuste às estruturas de outros negócios — como as COSO Internal Control and Enterprise Risk Management Frameworks, o padrão 4360:2004 da Austrália/Nova Zelândia, vários padrões ISO, assim como as estruturas usadas pelos auditores. O que se consegue não é uma estrutura única, e sim uma hierarquia de estruturas que operam em harmonia entre elas.

Além de uma estrutura de conformidade com TI precisar lidar com estruturas de conformidade e gerenciamento de riscos dentro do negócio, ela também precisa lidar com estruturas relacionadas dentro da TI. As estruturas relacionadas com GRC de TI incluem:

ISO/IEC 27002:2005. Essa é a principal estrutura para gerenciar riscos de TI e conformidade, e tem a mais ampla abordagem e aceitação.

COBIT. Oferece a estrutura de trabalho mais favorecida pelos auditores. Para que o gerenciamento de riscos e a conformidade com TI sejam efetivos, é necessário que a estrutura de TI tenha relação com os objetivos de controle do COBIT.

ITIL. Fornece uma estrutura para gerenciar e distribuir processos de TI.

Definindo a estrutura Enquanto existem estruturas de trabalho diferentes mas relacionadas envolvidas em uma visão abrangente do GRC de TI, um programa efetivo de conformidade com TI deve se centrar em uma única estrutura e trabalhar em harmonia com o resto.

A estrutura de trabalho mais flexível atualmente para uma abordagem proativa de risco e conformidade com TI é a ISO/IEC 27002:2005 (ISO 27002). As organizações deveriam considerar desenvolver seus programas de risco e conformidade com TI com base na 27002 porque:

Oferece a maior flexibilidade O padrão não foi criado para um único fim, setor ou tamanho de organização. Ela oferece às empresas de TI uma quantidade significativa de flexibilidade para definir como a conformidade opera dentro das demandas específicas de uma empresa.






Evita ser prescritiva. Ela foi criada para oferecer orientação sobre como ter uma perspectiva global, ao mesmo tempo que reconhece que diferentes empresas de culturas, indústrias e dimensões diferentes terão requisitos diversos para o gerenciamento de riscos e conformidade com TI.

Oferece uma abordagem comum. A ISO 27002 é reconhecido internacionalmente e é utilizada por diversas empresas ao redor do mundo. Isso é significativo para empresas que sofrem o impacto da ampliação, enquanto gerenciam uma gama de conexões e relações com parceiros de negócio. Uma estrutura comum para definir e avaliar a conformidade entre parceiros de negócios é essencial.

Utiliza práticas recomendadas. A ISO 27002 se concentra em estruturas e práticas recomendadas. Ela proporciona orientação ao definir estruturas de controle e indicações de implementação.

Enfatiza a necessidade da avaliação de riscos. Conformidade envolve avaliação de riscos. O foco do ambiente normativo deixou de ser a verificação, e as empresas passaram a demonstrar que compreendem seus ambientes operacionais internos e externos, e que gerenciam a conformidade conforme o risco que elas enfrentam.iv

Oferece uma trajetória de certificação. Para aqueles que desejam obter uma certificação de conformidade com uma estrutura de trabalho, a ISO 27002 tem um padrão de certificação correspondente à ISO/IEC 27001.

Estágio final da conformidade com TI — uma definição, cumprimento geral O propósito de uma estrutura de trabalho comum para definir a arquitetura de controle em um programa de conformidade com TI é definir os controles uma vez e demonstrar a conformidade com uma gama de requisitos e normas. Isso também permite à empresa monitorar continuamente o risco no dinâmico e extenso ambiente de negócios atual.

Ao utilizar a ISO 27002, uma empresa deve objetivar o mapeamento dos controles definidos na estrutura para os requisitos de conformidade no ambiente normativo, assim como os requisitos resultantes de políticas e procedimentos corporativos. A empresa monitora o ambiente de controle da TI para garantir que os riscos sejam gerenciados dentro dos seus limites de tolerância e do desejo de assumi-los.

Abordando a conformidade protiva com a ISO 27002 A ISO 27002 fornece a estrutura ideal para definir um conjunto completo de controles de TI. As empresas consideram o padrão completo na sua profundidade e que oferece a flexibilidade de adaptá-lo às suas necessidades específicas.

Avaliação e tratamento de riscos. A vantagem da ISO 27002 começa com seu foco inicial na necessidade de avaliação e tratamento de riscos. Para que os controles de TI sejam efetivos em gerenciar, minimizar e evitar os risco de TI, é necessário que se estabeleça uma compreensão do risco. Somente a partir de um entendimento do risco que os negócios enfrentam é possível escolher os controles apropriados para gerenciar e minimizar esse risco. A orientação normativa também requer que sejam estabelecidos os processos de avaliação de risco. Um programa proativo de conformidade é aquele que está continuamente avaliando e tratando o risco.






Política de segurança. A responsabilidade pela segurança e pelos controles de TI não é só da TI — ela se estende, até certo ponto, a qualquer usuário do ambiente. A ISO 27002 oferece bases sólidas para o gerenciamento de riscos e controles de TI, fornecendo orientação sobre a estrutura de uma ampla política de segurança das informações apoiada pelo gerenciamento, e comunicada e confirmada pelo conjunto de usuários do ambiente. O documento de políticas de segurança deve ser mantido e revisado periodicamente para garantir que seja consistente com os requisitos em constante transformação nos negócios. É esse documento que determina o contexto para a definição e a aplicação dos controles de TI para fins de conformidade. Um programa proativo de conformidade é aquele que possui uma política manifesta e definida.

Organização da segurança das informações. A ISO 27002 fornece o contexto para o gerenciamento de segurança das informações fortalecendo a organização da segurança para definir e aplicar os controles e a conformidade de TI. Isso inclui o suporte do gerenciamento e o compromisso com a segurança das informações, a alocação de responsabilidade e as relações entre partes internas e externas.

Gerenciamento de ativos. A definição dos controles no contexto da proteção de ativos corporativos é fundamental para a conformidade. A ISO 27002 estabelece as bases para a conformidade com TI definindo a responsabilidade pelos ativos ou sua propriedade; assim como os requisitos para a manutenção de um inventário contínuo tanto dos ativos tangíveis como dos intangíveis — como hardware, software, informações e relações de negócios. Quando os ativos são definidos adequadamente, eles podem ser classificados ou rotulados: os requisitos de conformidade e os controles de suporte podem ser mapeados em seus contextos e relacionamentos específicos. Um programa proativo de conformidade compreende a gama de ativos da empresa e mapeou os controles e requisitos para esses ativos.

Segurança de recursos humanos. O elemento humano é o fator mais difícil de ser controlado na segurança de TI. A ISO 27002 estabelece a estrutura para conformidade definindo claramente a necessidade de atender as funções e as responsabilidades de segurança, riscos e conformidade de TI em toda a base de usuários. Isso inclui funcionários, prestadores de serviços, terceiros e até trabalhadores temporários. Todos os usuários devem entender a política e ser treinados de maneira adequada em suas funções e responsabilidades. O padrão também oferece orientação para o controle de direitos de acesso em todo o processo do relacionamento — da contratação ao término do contrato. Um programa proativo de conformidade reconhece que o elemento humano é o maior risco para a conformidade e comunica, gerencia e controla a conformidade no contexto das relações de trabalho e de negócios.

Segurança física e ambiental. A segurança e o controle de hardware, software e informações de TI estão sujeitos à segurança do ambiente físico mais amplo. A ISO 27002 reconhece essa dependência e oferece orientação para proteger o ambiente físico e os ativos da organização e para oferecer proteção e precauções ambientais. Um programa proativo de conformidade possibilita uma visão abrangente de controles que abarca a proteção física e lógica dos ativos corporativos.

Gerenciamento de comunicações e operações. A maior parte dos requisitos de controle e conformidade com TI se refere a detalhes do gerenciamento de operações de TI e do ambiente de comunicação mais amplo. A ISO 27002 oferece orientação sobre o controle de operações, desenvolvimento, testes, procedimentos de backup, gerenciamento de configuração e comunicações/redes de TI. Um programa proativo de conformidade monitora os ambientes de comunicações e operações e garante que os controles apropriados e a separação de tarefas estão estabelecidos para as operações de TI.






Controle de acesso. O principal aspecto da conformidade com TI é: “quem tem acesso a quê?” O controle de acesso é um componente essencial da ISO 27002. Ele atende os controles de provisionamento de usuários, a concessão e a análise do acesso a informações e sistemas, a revogação do acesso, a autenticação de usuários e o gerenciamento de privilégios. Um programa proativo de conformidade monitora e aplica controles de acesso na infra-estrutura e nos aplicativos de TI.

Aquisição, desenvolvimento e manutenção de sistemas de informação. Os controles integrados à TI (em oposição ao controle "band-aid") são mais eficazes. A ISO 27002 aplica a conformidade oferecendo uma perspectiva do controle em todos os processos de aquisição, desenvolvimento e manutenção de TI. Um programa proativo de conformidade identifica pontos de exposição e vulnerabilidades nas etapas de aquisição e desenvolvimento e implementa controles para preencher requisitos de conformidade e controlar riscos antes que os sistemas sejam implantados.

Gerenciamento de incidentes com a segurança das informações. Os planos de controle mais bem estabelecidos ainda são suscetíveis a falhas ocasionais. Os programas de conformidade são freqüentemente medidos em relação à capacidade da empresa de detectar e responder rapidamente a violações de controles e a condutas antiéticas. As empresas que não tem um plano de resposta estabelecido enfrentarão sérias dificuldades com a conformidade. A ISO 27002 fornece uma perspectiva abrangente de notificação, gerenciamento e investigação de incidentes no ambiente de TI. Um programa proativo de conformidade está preparado para responder quando são notificados violações de controle ou comportamentos maliciosos.

Gerenciamento da continuidade de negócios. Um componente significativo da conformidade e do controle é a disponibilidade constante dos sistemas de fornecer a continuidade das operações de negócios. A ISO 27002 gerencia riscos e controles estabelecendo procedimentos apropriados para a preparação e a recuperação de desastres. Um programa proativo de conformidade tem planos de continuidade de negócios estabelecidos pela empresa e continua ágil ao enfrentar incidentes e desastres.

Conformidade. A ISO 27002 atende diretamente a supervisão e o gerenciamento de conformidade com requisitos legais, técnicos e de negócios. A proteção de informações pessoais e de propriedade intelectual são componentes essenciais do controle de TI. Um programa proativo de conformidade é aquele em que a conformidade e os planos de monitoração são aplicados aos controles de TI estabelecidos na estrutura da ISO 27002.






Por onde começar a desenvolver um programa sustentável e efetivo de conformidade com TI? Um programa sustentável e efetivo de conformidade com TI não é desenvolvido da noite dia para o dia. A empresa precisa de uma estratégia. As empresas que procuram desenvolver um programa proativo de conformidade com TI focalizado na sustentabilidade e na efetividade devem seguir estes cinco passos:

1. Estabelecer o seu estatuto de gerenciamento e conformidade de riscos de TI. Um programa proativo de conformidade com TI começa com o entendimento do que a TI está tentando alcançar. O melhor para a empresa é primeiro estabelecer a visão, a missão e os princípios do gerenciamento de riscos e da conformidade com TI.

Parte do processo de criação desse estatuto também é identificar as funções envolvidas no gerenciamento de riscos e na conformidade com TI. Como a TI possibilita grande parte dos negócios, os coordenadores de negócios devem se empenhar em definir o estatuto para o gerenciamento de riscos e conformidade com TI. Ele deve incluir as funções de auditoria, finanças, linhas de negócios, desenvolvimento, arquitetura, conformidade corporativa, risco corporativo e segurança física como interessados em desenvolver um estatuto proativo de gerenciamento de riscos e conformidade com TI.

2. Desenvolver a sua estrutura e política de gerenciamento de risco e conformidade com TI. Depois de estabelecer seu estatuto de gerenciamento de riscos e conformidade com TI, o próximo passo é escolher sua estrutura. Conforme discutido, a ISO 27002 é a estrutura mais ágil e completa para gerenciar riscos e a conformidade com TI no departamento de TI.

Vincule os requisitos de controle e conformidade com TI à estrutura, assim como a políticas, procedimentos e controles de TI existentes. Os controles de TI devem ser catalogados na estrutura e correlacionados aos tipos de informações - estruturadas e não estruturadas.

3. Avaliar o estado atual da conformidade com TI. O passo seguinte é compreender a sua posição. Para passar de um programa reativo de conformidade com TI a um proativo, é necessário compreender o estado atual do ambiente de controles, processos e aplicativos de TI. As empresas devem inventariar e avaliar seus ativos de informações estruturadas e não estruturadas como parte do processo de avaliação, de modo que os controles possam ser aplicados de maneira apropriada.

4. Determinar o estado desejado da conformidade com TI. Partindo da avaliação do estado atual, a empresa pode determinar lacunas nos controles, assim como identificar sobreposições de controles e processos diferentes, para começar a criar as bases em direção à conformidade proativa.

A empresa deveria implementar um plano de ação para atender lacunas ou deficiências nos controles e construir controles e processos de TI para satisfazer a conformidade com a visão e o alinhamento da ISO 27002. Para avançar a um estado de conformidade proativa com TI, esta etapa do processo envolve a identificação de prioridades, projetos, orçamentos e propriedade.






5. Medição, avaliação e geração de relatórios. Os negócios são dinâmicos e em fluxo contínuo — portanto, um programa proativo de conformidade com TI monitora continuamente os ambientes de negócios internos e externos para medir, avaliar e gerar relatórios sobre o estado de conformidade. Cada ponto de controle da estrutura da ISO 27002 deve conter indicadores importantes de controle e risco por meio dos quais a empresa pode monitorar a conformidade e o cumprimento em geral.






Sobre o autor Michael Rasmussen, presidente Tel: +1.888.365.4563 E-mail: [email protected]

Blog: http://corp-integrity.blogspot.com

Michael Rasmussen é a maior autoridade em compreensão de GRC (Governance, Risk and Compliance, controle, risco e conformidade). Ele é um orador programático muito procurado, autor e colaborador sobre questões de GRC em todo o mundo, reconhecido por ser o primeiro analista a definir e modelar o mercado de GRC para serviços profissionais e de tecnologia.

Com mais de 15 anos de experiência, o objetivo de Michael é ajudar as empresas a definir processos de GRC que sejam sustentáveis, consistentes, eficientes e transparentes. Sua liderança conceitual se relaciona com:

Treinar profissionais de GRC nas empresas para identificar, compreender e analisar estratégias, geradores, marcas e práticas recomendadas de GRC;

Auxiliar os fornecedores de tecnologia com o alinhamento de suas estratégias de marketing e produto às necessidade e aos requerimentos dos profissionais de GRC; e

Colaborar com empresas de serviços profissionais em seu portfólio de ofertas de serviços de GRC para que estejam melhor equipadas para servir a seus respectivos clientes.

Um líder no conhecimento de padrões de risco e conformidade, estruturas, normas e legislação, Michael pretende melhorar a integridade corporativa por meio de iniciativas avançadas de GRC. Ele desempenhou cargos de liderança contribuindo para relatórios e comitês de políticas públicas do congresso americano e atualmente participa do Leadership Council and Steering Committee of the Open Compliance and Ethics Group. Michael foi amplamente mencionado na imprensa e é respeitado por seus comentários em canais de notícias.

Em junho de 2007, a Treasury & Risk o reconheceu como uma das 100 pessoas mais influentes em finanças, com elogios ressaltando especificamente seu trabalho “Governance and Compliance: Saving the Planet and the Corporation” (Controle e conformidade: salvando o planeta e a empresa).

Corporate Integrity, LLC Corporate Integrity, LLC é uma empresa consultiva de estratégia e pesquisa que fornece treinamento, pesquisa e análise sobre controle corporativo, gerenciamento de riscos e conformidade.

Por meio de pesquisas, interações e análises contínuas, a Corporate Integrity é a maior autoridade no entendimento de como as empresas podem promover uma cultura de “fazer o que se diz” — em que a integridade é essencial para as práticas de GRC. A Corporate Integrity treina empresas e os profissionais de GRC dessas organizações na obtenção de sustentabilidade, consistência, eficiência e transparência em suas práticas corporativas de GRC para manter uma posição de integridade alinhada aos valores corporativos e ao desempenho dos negócios.

mailto:[email protected]






Notas

i O peso do ambiente normativo não está se tornando mais leve. O Wall Street Journal divulgou o aumento do ambiente normativo na situação política atual — segunda-feira, 24 de março de 2008 — “Political Pendulum Swings Toward Stricter Regulation” (O pêndulo político balança em direção a normas mais rígidas) (http://s.wsj.net/article/SB120631764481458291.html?mod=fpa_whatsnews)

ii A Computer World trata sobre o caso do Atlanta’s Piedmont Hospital no artigo “HIPAA: The 42 Questions HHS Might Ask” (HIPPA: as 42 perguntas que o HHS pode fazer) (http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9025253&pa geNumber=1)

iii Os reguladores financeiros dos EUA incluem o Federal Reserve Board, Office of the Comptroller of the Currency, National Credit Union Association, Federal Depository Insurance Corporation e o Office of Thrift Supervision. Juntos, eles formam o Federal Financial Institutions Examination Council (www.ffiec.gov) e desenvolveram mais de uma dezena de manuais do regulador para avaliar a conformidade com TI.

iv “Normas baseadas em princípios tratam basicamente de resultados ou fins, enquanto normas baseadas em regras tratam dos meios. As normas baseadas em princípios permitem que as empresas decidam como melhor alcançar os resultados necessários e, portanto, permitem um alinhamento muito maior das normas às práticas recomendadas de negócios. . . . Uma abordagem mais baseada em princípios permite que as organizações aumentem suas possibilidades de escolha sobre esse tema. Resumindo, o uso de princípios é uma abordagem mais madura às normas que a daquelas que se baseiam em regras.” Fonte: John Tiner, “Principles based regulation: the EU context” (Normas baseadas em princípios: o contexto da UE) (http://www.fsa.gov.uk/pages/Library/Communication/Speeches/2006/1013_jt.shtml). “Nosso sistema normativo baseado em regras é prescritivo e faz com que nos concentremos em regras específicas de conformidade. Devemos avançar para uma estrutura que dê aos reguladores mais flexibilidade para trabalhar com entidades na conformidade dentro da idéia de princípios normativos.” Fonte: Hank Paulson, ministro da economia dos EUA, em discurso ao Economic Club of New York em novembro de 2006.