São pesadas as multas para o não cumprimento de normas e regulamentações por companhias com negócios sujeitos a regras específicas do mercado. Como as penalidades trazem prejuízos aos negócios, organizações investem e muito em sistemas de Tecnologia da Informação (TI) para automatizar e aprimorar a gestão de compliance, ou conformidade com as melhores práticas. As ferramentas em Cloud Computing (Computação em Nuvem) reduzem custos e os trabalhos das equipes envolvidas nessa operação.
O mercado já oferece soluções de Software como Serviço (SaaS) para reforçar a gestão de compliance. São soluções que criam repositório de dados, mostram os requisitos para aderência às regulamentações a que o negócio está sujeito, passando, checam as políticas de segurança, monitoram sistemas e apresentam indicadores de cumprimento das medidas.
Corporações de capital aberto e de segmentos da economia reguladas por órgãos fiscalizadores, possuem equipes dedicadas à Gestão de Riscos e Compliance (GRC). Geralmente, esse time é composto por profissionais de TI, auditoria, além de especialistas em segurança física e lógica.
Cabe a esse grupo analisar os riscos do negócio e o quanto a companhia está em compliance com seu nicho de atuação. Além de atender normas 9000 da ISO (International Organization for Standardization), muitas são obrigadas a seguir leis, como a norte-americana Sarbanes-Oxley (SOX) e regras da Comissão de Valores Mobiliário (CVM) para operar na BM&FBovespa.
Indústrias financeiras, seguro, saúde, varejo e outros setores precisam obedecer medidas específicas para privacidade de dados sigilosos. Varejistas e toda a cadeia que processa pagamento online, por exemplo, têm que operar alinhados com PCI-DSS (Payment Card Industry – Data Security Standard), um padrão de segurança contra fraude criado pelas administradoras de cartão de crédito. O PCI estabelece uma série de requisitos quanto ao armazenamento e processamento das informações do consumidor contra vazamento e uso indevido de seus dados.
Para funcionar alinhado com as regras de governança corporativa, os departamentos de TI também têm que estar em compliance com as boas práticas do mercado para oferecer às linhas de negócios sistemas seguros. É por isso, que muitas investem para ter em seus times especialistas com certificações ITIL, (Information Technology Infrastructure Library) e CoBIT (Control Objectives for Information and Related Technologies).
Ambos são modelos de práticas internacionais que trazem uma série de orientações para a boa gestão da TI de acordo com os objetivos de negócios. Os dois oferecem bibliotecas, guias, mapas de auditoria, métricas para otimizar investimentos e garantir que os sistemas de TI estejam preparados para processar aplicações críticas de negócios com gestão de riscos.
Gestão de Compliance com ajuda da Cloud Computing
Por conta das exigências dos negócios, equipes de TI, auditores e profissionais de segurança precisam fazer a gestão de compliance baseada em um conjunto de regras e regulamentos. O problema é que essas normas mudam constantemente e as companhias têm que estar aderentes.
Cada alteração pede modificação de sistemas existentes ou desenvolvimento de novos aplicativos. É um esforço grande das equipes para garantir conformidade da empresa com as determinações, menos riscos e custos.
A boa notícia é que estão surgindo provedores de Nuvem especializados no fornecimento de soluções para CRC. Entre as ofertas estão sistemas em Cloud Computing para garantir conformidade com PCI; com HIPAA (Health Insurance Portability e Accountability Act), lei norte-americana para privacidade de dados de saúde dos pacientes; Sarbanes-Oxley entre outras regulamentações.
Um dos benefícios é a contratação dessas ferramentas no modelo de serviço, com pagamento mensal por uso.
Gostou do artigo? Comente!