Impulsionadas principalmente por exigências de conformidade com a Lei
Sarbanes-Oxley, de 2002, muitas organizações estão adotando ferramentas
de governança, risco e conformidade (GRC) para ajudar a gerenciar
atividades nessas três áreas. Plataformas e conjuntos de soluções para
automatizar coleta, correlação e comunicação de informações oferecem um
quadro mais amplo de como a empresa está, mas também mapeiam se
organização está em linha com a lei e o gestão de riscos.
Mas há
muitos fatores a considerar para identificar de que forma é possível
investir na tecnologia e ainda para avaliar como o conjunto de GRC vai
fornecer as informações de que a organização precisa.
Membros do
Wisegate, um grupo de networking online composto por CSOs e CISOs,
compartilharam experiências e dicas para implementar uma estratégia de
GRC de sucesso. Veja a seguir quatro recomendações que eles fazem:
Dave Notch, CISO, da Thomson Reuters, agência de notícias especializada em economia
A
grande sacada é não tentar obter a perfeição. Tenha uma abordagem mais
iterativa. Isso permite que você progrida e aprenda quais são os
requisitos. O que me leva ao meu segundo ponto: preparar-se para jogar
fora alguns dos trabalhos já realizados. Não tome isso como algo
pessoal, é apenas parte do processo de aprendizagem.
Verifique
seus ativos. Se você não sabe o que tem na empresa, vai ser difícil
quantificar o que está errado. Nós, por exemplo, diferenciamos nossos
ativos em três categorias e elas tornaram-se lentes para olharmos tudo
na companhia.
Forme uma equipe legal que inclua diferentes áreas,
como RH, produto, TI e segurança. Isso torna mais fácil o trabalho
quando você precisar lidar com os diferentes setores.
Kristen Knight, diretora sênior de Privacidade na Philips Electronics North America
Certifique-se
de compreender os impactos operacionais do produto antes de se
comprometer com ele. Produtos de GRC são abrangentes por natureza. Mesmo
os altos executivos da companhia serão impactados pela implementação
dessa, por isso verifique se estão dispostos a participar dessa mudança.
Implementar programas de treinamento é outra dica importante
para que eles se adaptem ao novo sistema. Na Philips Electronics, se eu
tivesse compreendido o produto completamente antes de comprá-lo, teria
percebido a improbabilidade de um treinamento direcionado para
executivos ocupados.
Por meio de processos bem definidos, a companhia pode amadurecer e
lidar com a capacidade de fluxo de trabalho que uma ferramenta de GRC
estabelece. O aspecto do fluxo de trabalho de algumas soluções pode
exigir que todos na organização entendam o seu uso.
Reconheça
que a implementação pode consumir muito mais tempo do que o esperado. Ao
mesmo tempo, não tenha medo se a implementação não está indo bem. Você
acabou de fazer a tecnologia funcionar.
Tom Malta,
executivo sênior de tecnologia de risco do setor de serviços financeiros
que atua em empresas como Goldman Sachs, Morgan Stanley da BNY Mellon
Entenda
que GRC é uma abordagm que exige cuidados. Um programa baseado nessa
estratégia deve ter políticas adequadas, procedimentos e fluxo de
trabalho. Comunique de forma extensiva. Faça com que todos usem as
ferramentas, mesmo que seja de forma gradual.
Conseguir um bom
framework de GRC não está relacionamento apenas com a escolha e uma boa
ferramenta, ações simples podem ser adicionadas ao programa para ajudar a
gerenciar iniciativas de risco e compliance, como a adição de
indicadores de desempenho (KRI/KPI).
Jeff Bardin, CISO sênior do Banco Bank & Trust, State Street Bank e Grupo Hanover Insurance
Considere
realizar uma prova de conceito (POC) para todos os módulos da
ferramenta. Se a POC for bem-sucedida, então você deve seguir em frente.
Se possível, na sequência desse processo, tente reduzir custos e ajude a
desenvolver um conjunto de ferramentas de trabalho mais rápido.
A
maioria das ferramentas de GRC que vem com conectores que permitem
rápida integração com outras tecnologias de segurança e alimentações de
dados. Use-as para reduzir tempo e custos.
Fonte:
http://computerworld.uol.com.br/negocios/2012/02/23/4-dicas-para-implementar-governanca-riscos-e-compliance/
Nenhum comentário:
Postar um comentário