Conformidade e as Oportunidades de Negócios Associadas

Antes de mais nada, um feliz 2010 para todos! Voltando de férias, e começando a série de posts do ano gostaria de retomar o tema conformidade, mas agora sob uma perspectiva diferente.

Conformidade não representa apenas desafios a superar, mas também oferece oportunidades para melhoria dentro de sua organização. Essas oportunidades de negócios incluem a chance de melhorar processos, criar vantagem competitiva e integrar ainda mais o TI em seus negócios para melhorar o ROI.

Visibilidade, Medição e Melhoria de Processos

A maioria das regulamentações exige que as organizações tenham processos de negócios documentados, mensuráveis e repetíveis e que esses processos tenham controles apropriados em vigor para evitar erros ou fraude. Processos automatizados geralmente têm controles mais efetivos que os manuais e os auditores geralmente podem confiar mais em controles automatizados em nos manuais porque são menos sujeitos a erros humanos ou transgressões intencionais. Por isso, os requisitos de conformidade podem ser mais bem satisfeitos através da automação de processos manuais ineficientes e potencialmente falíveis. Embora a justificativa primária para automatizar processos seja melhorar controles técnicos e a capacidade de repeti-los, um benefício adicional é que isso melhora a eficiência e a visibilidade e, portanto, o potencial de gerenciamento desses processos. Alguns exemplos potenciais de controles automatizados incluem os seguintes:

  • Requisitos de senha e complexidade automatizados como aqueles impostos pelo AD DS (Active Directory® Domain Services).
  • Automação de fluxo de trabalho para concessão, modificação e finalização de acesso de usuário que pode ser desenvolvida usando-se o Windows® SharePoint® Services.
  • Soluções de controle de mudanças automatizado como o Microsoft Visual Studio®.

O gerenciamento de identidades automatizado fornece um bom exemplo de como um processo automatizado melhorar a eficiência. Muitos auditores chamaram a atenção para a falta de controles técnicos em torno do processo de gerenciamento do ciclo de vida do usuário que envolve a criação, modificação e exclusão da conta e do perfil do usuário. Para lidar com essa deficiência, organizações implementaram ferramentas de gerenciamento de identidade automatizadas tais como o AD DS. Embora a finalidade dessas ferramentas seja primariamente automatizar os controles técnicos em torno de processos de negócios críticos, implementá-los também melhora a eficiência do processo de gerenciamento de usuários.

Vantagem Competitiva

Em muitas indústrias, adesão forte ou precoce a documentos de autoridade de GRC reconhecidos pela indústria e práticas relacionadas pode criar uma vantagem competitiva para uma organização. Organizações que fornecem serviços a outras empresas podem beneficiar-se de conformidade precoce e comprovada a regulamentações, pois outras empresas têm mais probabilidade de fazer negócios com aquelas em conformidade que estejam em posição de ajudá-las a lidar com seus próprios requisitos de conformidade de uma forma visível e comprovada. Quando a concorrência puder concordar com requisitos contratuais de GRC sem uma solução abrangente, sua organização pode recomendar uma solução de GRC que seja uma clara vantagem competitiva.

Empresas de terceirização de TI, escritórios de serviços, indústrias de processamento de informações e empresas de administração de seguros de saúde são exemplos de organizações que podem beneficiar-se dessa vantagem competitiva. A implementação de padrões também pode levar a maior agilidade do TI e permitir que uma organização atenda necessidades de negócios mais rápida e completamente, de uma forma compatível.

Existem exemplos ou declarações públicas disponíveis, como comunicados à imprensa e endossos de sites da Web, que devem ser considerados. A Microsoft recomenda que você consulte seu auditor e conselheiro legal quando desenvolver uma declaração pública a respeito de conformidade porque há certas limitações.

Privacidade é outra preocupação significativa para empresas e indivíduos hoje em dia. Conformidade forte com normas de privacidade também proporciona uma vantagem competitiva para as organizações. As organizações podem negociar sua conformidade com normas de privacidade para construir confiança e uma fatia do mercado com os consumidores e amainar a preocupação predominante com privacidade e roubo de identidade em meio ao público. Além disso, como a conformidade com a EUDPD é um pré-requisito para fazer negócios em alguns países/regiões da Europa, a conformidade com essa regulamentação pode abrir novos mercados para os produtos e serviços de uma organização.

Integração do TI e Retorno do Investimento

Requisitos de conformidade podem ajudar os gerentes de TI a integrar soluções técnicas mais profundamente em suas organizações. Embora muitas regulamentações não exijam controles baseados em TI especificamente, freqüentemente é a gerência de TI que acaba implementando os controles técnicos que as regulamentações sugerem veementemente. Essa abordagem aumenta a necessidade de o TI e a gerência comercial trabalharem de perto para resolver os difíceis desafios da conformidade.

A oportunidade de tirar proveito da tecnologia da informação para administrar e manter controles de conformidade pode criar um benefício para a infra-estrutura de TI sendo usada. O ROI total do investimento pode ser determinado através do cálculo do tempo e dos recursos que podem ser economizados pela integração de controles de conformidade com a tecnologia da informação em comparação com os custos únicos e contínuos. Por exemplo, a implantação total do AD DS representa um custo único e contínuo, mas também uma economia recorrente na supervisão da administração do sistema.

À medida que os gerentes de TI se tornam parceiros da gerência, podem beneficiar-se da visibilidade e comunicações maiores do gerenciamento para desenvolver iniciativas de TI que podem alcançar ganhos de eficiência e economias de custo para a organização. Por exemplo, iniciativas focadas na automação de processos e princípios de segurança saudáveis como autenticação e retenção de dados podem lidar com requisitos de conformidade ao mesmo tempo em que alcançam benefícios adicionais para a organização.

 

Um abraço,

Rodrigo Dias (Twitter: https://twitter.com/rodrigodias73)