6 erros de conformidade de TI a serem evitados
Publicados: 2021-12-06Há um aumento significativo nas regulamentações associadas a sistemas de TI e dados corporativos. É uma obrigação que os profissionais de TI cuidem de todos os aspectos dessas regulamentações, caso contrário, existe a possibilidade de grandes implicações financeiras devido à não conformidade.
Vamos aceitar um fato de que a conformidade faz parte da vida de qualquer organização, principalmente as verticais do setor, que são altamente regulamentadas, como serviços financeiros, saúde e governo. No momento em que mencionamos a palavra compliance, ela imediatamente repercute nas equipes jurídica, de compliance e de risco. No entanto, há um envolvimento considerável dos departamentos de TI para garantir a adesão à conformidade da organização.
É importante que os CIOs e outros executivos seniores de tecnologia estejam bem cientes das várias regulamentações e diretrizes sobre dados, privacidade, segurança e outros componentes regulatórios dentro do cenário tecnológico. Esses executivos seniores podem desempenhar um papel fundamental para garantir que não haja descumprimento, evitando assim uma penalidade pesada.
Por exemplo, profissionais de TI em setores como saúde e outros setores afiliados tiveram que garantir a conformidade com a HIPAA, que garante a segurança e a privacidade dos dados eletrônicos de saúde. No entanto, estamos vendo a estrutura regulatória se tornar cada vez mais complexa devido à evolução de muitas novas diretrizes regulatórias, como os Regulamentos Gerais de Proteção de Dados da Europa (GDPR) e a Lei de Privacidade do Consumidor da Califórnia (CCPA).
Juntamente com os Estados Unidos, muitos outros países seguem constantemente protocolos semelhantes para garantir que os dados dos indivíduos sejam protegidos. Conformidade e estrutura regulatória para sistemas de TI, redes e dispositivos de hardware são parte integrante de qualquer organização. Isso definitivamente tornou uma grande preocupação para os CIOs em todo o mundo. De fato, uma pesquisa da agência líder Gartner estimou que mais de 75% das informações pessoais serão cobertas pelas leis globais de privacidade até o final de 2023.
Assim, os CIOs devem certificar-se de que seguem certos procedimentos e evitar erros que levem à não conformidade. Aqui estão alguns dos erros de conformidade de TI que eles devem evitar:
1. Considerando seu auditor como um adversário
Quando auditores e avaliadores começam a questionar as iniciativas de TI em uma organização e seu impacto na conformidade, é bastante natural que os CIOs e outros executivos seniores de tecnologia fiquem na defensiva. Esses auditores começarão a comentar sobre seu processo de pensamento. Isso cria atrito entre os dois, o que não vai levar a lugar nenhum.
Assim, é sempre aconselhável ter uma discussão construtiva e presencial, entender a perspectiva desses auditores e tentar trabalhar de forma coesa para tornar o ambiente melhor. A conclusão é que todos estão trabalhando para o mesmo objetivo, incluindo aqueles que criaram essas diretrizes de conformidade; o objetivo é estabelecer transparência e prestação de contas. Se os CIOs começarem a adotar essas auditorias internas e trabalharem de forma colaborativa com os auditores, há uma grande possibilidade de abordar facilmente esses protocolos de conformidade.
2. Tratamento, ou melhor, tratamento incorreto de exceções
Assim como toda regra ou diretriz tem algumas exceções, também há um conjunto de exceções para conformidades na estrutura de TI. Dificilmente acontece que todo mundo é 100% seguido ao ponto. As coisas mudam devido a mudanças nos cenários de negócios e ao impacto no cliente. Portanto, é sempre benéfico implementar um processo de gerenciamento de exceções em relação às conformidades de TI.
Começa com a documentação de coisas simples, como o que está sendo seguido e por que pode haver um possível conflito com a conformidade existente. A organização está tomando medidas adicionais para aderir aos objetivos de conformidade? A organização possui uma regra de bypass, que é permanente por natureza, ou passará por observação e aprovações antes de ser executada? Essas são algumas das questões pertinentes que as organizações devem fazer, documentar e monitorar regularmente e não se tornarem avessas a isso, ou melhor, tomar tais exceções como certas.
Sempre que houver uma regra que seja ignorada, deve haver uma explicação adequada, pois há um risco potencial envolvido quando tais regras são ignoradas.
3. Falha na prontidão da equipe
Assim como outras áreas de TI, mesmo em caso de compliance, a falta de habilidades, experiência e conhecimentos relevantes pode causar sérios problemas. Para ter uma estratégia forte em torno da conformidade de TI, é importante ter uma equipe forte. Os CIOs precisam garantir que a equipe esteja continuamente aprendendo e se aprimorando no processo de adesão às conformidades regulatórias de TI. Ter essa abordagem ajudará as equipes de TI a melhorar consideravelmente sua eficiência.
É inevitável que a conformidade de TI não seja apenas responsabilidade da equipe de TI; é uma prática multifuncional, tornando-a igualmente responsável por todos os indivíduos da organização, em todas as funções.
4. Segurança de controle de conformidade
Embora seja importante aderir a vários erros de conformidade de TI, particularmente os protocolos regulatórios, o objetivo deve ser ter uma metodologia de segurança bem definida que esteja alinhada com o objetivo de negócios da organização e a vertical e o domínio sob o qual a empresa ou departamento funciona. Quando os líderes de TI levam isso em consideração e estão em sincronia com essa abordagem, a conformidade se torna um resultado claramente alcançado e não apenas o único objetivo.
Normalmente, verifica-se que as medidas de segurança fundamentais não são gerenciadas de forma eficaz, e sim mal, resultando em um obstáculo para a conformidade. Alguns exemplos nesta linha serão patches, gerenciamento de vulnerabilidades, uso de autenticação de dois fatores para acesso remoto, gerenciamento de dispositivos móveis e políticas BYOD e assim por diante.
5. Ignorando algumas ferramentas importantes
Hoje, há uma infinidade de ferramentas disponíveis no mercado que tratam de erros de conformidade de TI. É bastante evidente que as equipes jurídicas e de conformidade trabalham em conjunto para finalizar e adquirir essas ferramentas, os líderes de TI também podem desempenhar um papel significativo ao ajudar a selecionar, finalizar e implantar essas soluções na organização.
Em setembro de 2021, o Gartner ajudou a fraternidade global de negócios ao identificar três áreas em que a equipe de conformidade deveria concentrar seus investimentos em tecnologia.
O primeiro investimento deve ser no sistema central de manutenção de registros, que atua como o sistema básico de qualquer organização. O segundo investimento deve ser em ferramentas que potencializem os fluxos de trabalho digitais e, por fim, o terceiro são soluções que auxiliem no monitoramento e gerenciamento de riscos.
As organizações não podem ignorar o fato de que o investimento em tecnologia é inevitável no cenário atual, por mais simples que sejam os processos. Em vez de ser um método de aquisição e implantação, deve ser uma iniciativa de toda a empresa, reunindo todas as partes interessadas nesse processo.
6. Governança não estruturada
Finalmente, embora as empresas possam ter definido seus processos e implementado todas as medidas para controlar esses processos, o que geralmente perdem é a estrutura de governança e a estrutura de risco em vigor. Os CIOs e outros líderes seniores de TI devem criar uma matriz de governança que combine sistemas corporativos, segurança da informação e equipes de rede/infraestrutura para aderir coletivamente a todas as conformidades de TI. Esse será o fator que impulsionará o sucesso; cuja ausência pode ser desastrosa.
Pensamentos finais
Resumindo, os compliances são um conjunto de diretrizes que são criadas não apenas para proteger os dados, mas também para auxiliar de forma metódica e ética no funcionamento de uma organização. Sim, há desafios em seguir esses erros de conformidade de TI, mas eles podem ser evitados? A resposta é não. Na verdade, as empresas precisam aprender e melhorar constantemente em torno dessas conformidades regulatórias, tornando sua vida mais simples.