Conformidade de TI

RSA, a divisão de segurança da EMC
Desenvolvendo um programa sustentável

e econômico de conformidade com TI
Abril de 2008
Preparado por: Michael Rasmussen

Presidente
Corporate Integrity, LLC

Waterford, Wisconsin 53185
Telefone: +1.262.534.9188
E-mail: mrasmussen@Corp-Integrity.com
Web: www.Corp-Integrity.com
2 Desenvolvendo um programa sustentável e econômico de conformidade com TI
Índice
SUMÁRIO EXECUTIVO ..................................................................................................................................... 3
IMPACTO DA CONFORMIDADE NA TI............................................................................................................ 4
A SEGURANÇA DE TI EVOLUIU ...........................................................................................................................5
A TI TEM UM PAPEL DUPLO EM CONTROLE, RISCO E CONFORMIDADE ..................................................................... 6
TRANSFORMANDO A CONFORMIDADE COM TI DE REATIVA A PROATIVA ................................................. 7
A CONFORMIDADE PROATIVA COM TI SIMPLIFICA A TI E REDUZ CUSTOS ................................................................. 8
A CONFORMIDADE PROATIVA COM TI CONDUZ À INTELIGÊNCIA NORMATIVA E DE RISCOS ....................................... 9
CONFORMIDADE PROATIVA COM TI REQUER UMA ESTRUTURA COMUM..................................................10
DEFININDO A ESTRUTURA ...................................................................................................................................... 10
ESTÁGIO FINAL DA CONFORMIDADE COM TI — DEFINIR UMA VEZ E CUMPRIR COM MUITAS .................................... 11
ABORDANDO A CONFORMIDADE PROATIVA COM A ISO 27002 .......................................................................... 11
POR ONDE COMEÇAR A DESENVOLVER UM PROGRAMA SUSTENTÁVEL E EFETIVO
DE CONFORMIDADE COM TI? ......................................................................................................................14
SOBRE O AUTOR: ...........................................................................................................................................16
MICHAEL RASMUSSEN, PRESIDENTE ....................................................................................................................... 16
CORPORATE INTEGRITY, LLC ................................................................................................................................ 16
NOTAS............................................................................................................................................................17
© 2008, Corporate Integrity, LLC. Todos os direitos reservados.

Esta pesquisa foi encomendada pela RSA, a divisão de segurança da EMC. A RSA, a divisão
de segurança da EMC possui os direitos de distribuição total desta pesquisa e do material nela contido.
Qualquer forma de reprodução sem permissão expressa é terminantemente proibida.
Para obter direitos de reprodução, informações sobre uso e para adquirir cópias, entre em contato com
research@Corp-Integrity.com. As informações foram baseadas nos melhores recursos disponíveis.
As opiniões refletem o julgamento no momento e estão sujeitas a alterações.
www.Corp-Integrity.com
Sumário executivo
Cumprir com as leis e as normas é uma carga crescente para as empresas, da diretoria às bases do negócio.
Ao longo dos últimos dez anos houve um impacto significativo e crescente da conformidade normativa,
especialmente no departamento de TI. Resumindo: os negócios são complexos e globais, e a demanda para
que a TI cumpra um conjunto de leis e normas está exigindo que ela mude e se adapte. São vários os desafios
de conformidade normativa que sobrecarregam a TI; isso colocou a TI na posição desagradável de ter que
responder às normas, quando deveria estar gerenciando proativamente os controles e os riscos de TI.
Uma abordagem reativa à conformidade com TI é uma fórmula para o desastre e leva a uma
escalada nos custos de conformidade, falta de visibilidade do ambiente de controle como um todo,
uso ineficiente ou desperdiçado de recursos, complexidade desnecessária, falta de flexibilidade,
vulnerabilidade e exposição.
Uma abordagem proativa à conformidade significa ter uma visão global. Enquanto uma abordagem
reativa de conformidade com TI conduz a maior exposição, complexidade e custos para fins de
conformidade, uma abordagem proativa fortalece o departamento de TI, reduz os riscos de exposição e usa
eficientemente os recursos.
Uma abordagem proativa de conformidade com TI conduz a uma empresa voltada para o futuro,
minimizando o risco no curso dos negócios, em vez de tentar resolver os problemas reagindo ao risco e
controlando as questões à medida que aparecem. Um programa efetivo de conformidade com TI deve
centrar-se em uma única estrutura de trabalho e operar em harmonia com outras. A estrutura mais flexível
para uma abordagem proativa do risco e da conformidade de TI é a ISO/IEC 27002:2005 (ISO 27002). O
propósito de uma estrutura de trabalho comum para definir a arquitetura de controle em um programa de
conformidade com TI é definir os controles uma vez e demonstrar a conformidade com uma gama de
requisitos e normas. Isso também permite à empresa monitorar continuamente o risco no dinâmico e extenso
ambiente de negócios atual.
Não se consegue desenvolver um programa sustentável e efetivo de conformidade com TI da noite para
o dia. A empresa precisa de uma estratégia. As empresas que procuram desenvolver um programa
proativo de conformidade com TI focalizado na sustentabilidade e na efetividade devem seguir os cinco
passos seguintes:
1. Estabelecer o seu estatuto de conformidade e risco de TI.

2. Desenvolver a sua estrutura e política de conformidade e risco de TI.
3. Avaliar o estado atual da conformidade com TI.
4. Determinar o estado desejado da conformidade com TI.
5. Medir, avaliar e informar.

Impacto da conformidade sobre a TI

As empresas enfrentam um amplo conjunto de desafios normativos. Cumprir com as leis e as normas é uma
carga crescente para as empresas, da diretoria às bases do negócio. Os reguladores ao redor do mundo
têm concentrado as normas em numerosas áreas: emprego/trabalho, comércio global, anticorrupção,
controles financeiros/de contabilidade — a lista continua. Vários setores — como ciências biomédicas,
bancos, seguradoras e serviços públicos — também recebem um maior grau de controle normativo.
Muitas áreas de negócios sofreram o impacto da conformidade normativa. Nos últimos dez anos, o impacto
sobre o departamento de TI especificamente foi significativo e crescente. Quanto mais amplos e distribuídos os
negócios, mais desafiantes são os riscos e as demandas de conformidade sobre a TI. Os CIOs (Chief
Information Officers, diretores-executivos de informação), munidos dos relatórios de seus CISO/CRO (Chief
Information Security/Risk Officer, diretor de segurança/risco das informações), ficaram desnorteados ao tentar
gerenciar a conformidade com um complexo conjunto de requisitos.
Os geradores de conformidade que causam impacto sobre a TI incluem:
Exigências de controle. Existe um controle sobre como os negócios são conduzidos. A maior parte dessa
atenção se concentrou em práticas de contabilidade financeira segundo esquemas normativos como
Sarbanes-Oxley, King II, Turnbull, J-SOX e EU Directives. A maior parte da atenção sobre práticas de
contabilidade tem um efeito sobre os controles de TI, porque a TI sustenta os sistemas e processos de
contabilidade subjacentes.
Privacidade das informações. Empresas em todo o mundo ficaram desnorteadas com as normas de
privacidade. Muitas dessas normas se originam nos Princípios de privacidade da OCDE (Organization for
Economic Cooperation and Development, Organização para a cooperação e o desenvolvimento
econômico), cujos frutos são encontrados na Diretiva de Proteção de Dados da UE (95/46/EC, "Directive"),
na PIPEDA (Personal Information Protection in Electronic Documents Act, lei sobre proteção de
informações pessoais em documentos eletrônicos) do Canadá e na PIPA (Personal Information Protection
Act, lei sobre proteção de informações pessoais) do Japão. Por outro lado, os Estados Unidos não
responderam com leis e normas de grande alcance sobre privacidade. Pelo contrário, concentraram a
atenção em mercados verticais específicos, como saúde e serviços financeiros, aprovando a HIPAA
(Health Insurance Portability and Accountability Act, lei de responsabilidade e mobilidade de seguros de
saúde) e a GLBA (Gramm-Leach Bliley Act). Além disso, a maioria dos estados dos E.U.A. implementaram
variados — e às vezes contraditórios — graus de legislação sobre privacidade, na forma de leis de
divulgação obrigatória.
Supervisão do governo. Normalmente, as normas não geram resposta da TI sem um pouco de pressão por
parte do governo. i Essa é uma questão importante nos Estados Unidos. Os legisladores aprovaram a HIPAA
em 1996, mas os hospitais foram lentos em responder, até que a HHS (Health and Human Services, serviços
humanos e sanitários dos Estados Unidos) iniciou um processo contra um hospital de Atlanta no ano
passado.ii Enquanto isso, os serviços financeiros foram rápidos em responder a exigências semelhantes da
GLBA porque os reguladores financeiros dos Estados Unidos foram agressivos na avaliação da
conformidade com TI.iii Organizações do governo, como a U.S. Federal Trade Commission (comissão de
comércio federal dos Estados Unidos), foram rápidas em garantir o cumprimento de segurança e
privacidade de TI em mercados verticais por meio de uma variedade de compromissos de cessação. Um
CISO em um banco de médio porte colocou uma mesa adicional em seu escritório, porque havia grandes
possibilidades de que, a qualquer momento, um regulador financeiro realizasse análises normativas e
precisasse de um espaço de trabalho próximo ao seu.

Litígio. A maior preocupação com a falta de conformidade não vem das multas e sanções aplicadas pelo
governo. As organizações ficam terrivelmente assustadas quando os reguladores estabelecem uma forma
de medir a negligência que pode ser usada contra elas em ações civis. Existe uma preocupação
crescente que a organização possa enfrentar litígios sobre perda de dados e violação de privacidade —
o ápice dessa preocupação é o medo de uma possível ação judicial coletiva caso a perda afete vários
acusados.
Parceiros de negócios. A pressão para cumprir a conformidade não vem somente dos reguladores, mas
também dos parceiros de negócios. As organizações são desafiadas para demonstrar não só a sua
própria conformidade com as leis, mas também a conformidade com seus parceiros de negócios. Mesmo
onde as normas não estão presentes atualmente, existe uma tendência crescente para garantir que os
parceiros de negócios na cadeia de fornecimento possam demonstrar um nível adequado de controle de
segurança. Um gerente de segurança de uma empresa industrial líder em alta tecnologia estava tendo
dificuldades para que entendessem a necessidade de proteção da propriedade intelectual, mas foi
capaz de mudar essa percepção quando começou a discutir a proteção da propriedade intelectual de
um importante parceiro de negócios.
Distribuição geográfica. Já é suficientemente desafiador cumprir com um complexo conjunto de leis e

normas quando as operações se realizam em uma única jurisdição ou país. A tarefa se torna
verdadeiramente assustadora à medida que as organizações enfrentam uma expansão dos negócios, a
globalização e a uma rede de parceiros de negócios distribuídos ao redor do mundo. Um importante
varejista está tentando definir como manter-se atualizado em relação às leis e normas que mudam
constantemente e influenciam suas operações de TI em catorze países. O assunto torna-se ainda mais
desafiador quando diferentes ambientes normativos têm exigências contraditórias, como exemplificado
pelas questões acontecidas nos últimos anos entre a legislação do Canadá (PIPEDA) e a lei antiterrorismo
dos EUA (U.S. Patriot Act).
A segurança de TI evoluiu
Resumindo: os negócios são complexos e globais, e a demanda para que a TI cumpra um conjunto de leis e
normas está exigindo que ela mude e se adapte.
A segurança não consiste somente em afastar hackers, vírus e worms — ela evoluiu para uma complexidade
de processos de conformidade e gerenciamento de riscos. Isso envolve proteção da propriedade intelectual
e de segredos comerciais, gerenciamento da conformidade com TI, monitoração do risco de informações e
validação dos controles nas relações de negócios.
Essa mudança na TI causou uma evolução da definição de segurança e de sua abordagem em negócios
mais amplos. A segurança está evoluindo de um departamento técnico totalmente dedicado às operações
de TI a um departamento com significativa capacidade de gerenciamento de riscos e discernimento legal
— que não entende apenas a tecnologia, mas também os ambientes legais, de negócios e de riscos nos
quais opera. Enquanto o gerente de segurança de ontem era um tecnólogo, o de hoje precisa ter
competência legal e de negócios. Os tradicionais departamentos de segurança de TI são agora chamados
com freqüência de departamentos de riscos de informações.

A TI tem um duplo papel em controle, risco e conformidade

Tanto os negócios como a TI também estão respondendo à tendência de colaboração crescente entre
negócios em GRC (Governance, Risk and Compliance, controle, risco e conformidade). A TI tem um papel
importante e possibilita as iniciativas de GRC nas organizações. O papel da TI em GRC é duplo porque, por um
lado, a TI deve gerenciar as suas próprias questões de GRC e, por outro, a TI se torna um habilitador e
automatizador de GRC para o negócio.
Isso originou uma perspectiva e um relacionamento entre o GRC corporativo e o GRC da TI. O GRC
corporativo envolve as questões que causam impacto sobre o negócio fora da TI — esses são os elementos
que mantêm os executivos (por exemplo, CRO, CCO) acordados à noite mas que a TI pode ajudar a
automatizar e monitorar. Por outro lado, existem questões de GRC que ficam em mãos de CIO e CISO e os
mantêm acordados à noite — aí é que entra o GRC de TI.
O gerenciamento de riscos/segurança de TI tem atualmente uma interessante função na dicotomia do GRC

— ele acaba sendo o ponto de interseção que conecta o GRC de TI com o GRC corporativo.

Transformando a conformidade com TI de reativa a proativa

São vários os desafios de conformidade que sobrecarregam a TI, e isso tem colocado a TI na posição
desagradável de ter que responder às normas quando deveria estar gerenciando proativamente os
controles e os riscos de TI. Para que a segurança de TI possa ter um papel eficiente e efetivo em
conformidade com TI, é necessário que a TI construa uma base sólida para gerenciar e automatizar os
processos de risco e conformidade com TI.
Uma abordagem reativa da conformidade com TI é uma fórmula para o desastre e conduz a:
Custos crescentes de conformidade. Enquanto a organização se ocupa em resolver problemas individuais

de conformidade com TI, os custos disparam. Gasta-se dinheiro em questões individuais para manter os
auditores e reguladores acuados, sem pensar em como esses recursos poderiam ser usados
inteligentemente para cumprir com uma série de necessidades de conformidade com TI. Ninguém está
tendo uma visão global e olhando para a prevenção do problema por meio de uma abordagem
proativa à conformidade com TI.
Falta de visibilidade. Uma abordagem reativa à conformidade leva a iniciativas de conformidade isoladas
que não permitem ter uma visão global. Ninguém está pensando em como os controles de TI poderiam
ser projetados para cumprir com uma série de necessidades de conformidade. O resultado é uma
visibilidade limitada na organização de TI e de seu ambiente de controle, sem uma estrutura de trabalho
ou arquitetura consistente para gerenciar os controles.
Uso desperdiçado ou ineficiente de recursos. Pontos isolados de conformidade com TI levam a recursos
desperdiçados. Em vez de aproveitar controles e recursos para cumprir uma gama de necessidades de
conformidade, eles são desenvolvidos independentemente e sem preocupação com seu
aproveitamento. O departamento de TI acaba tendo diferentes processos internos, sistemas, controles e
tecnologias para cumprir com a conformidade. Muitos desses processos e controles poderiam ter sido
simplificados por meio de uma abordagem comum do controle de conformidade e risco de TI.
Complexidade desnecessária. Abordagens variáveis da conformidade com TI apresentam maior

complexidade à TI. Com a complexidade, aparece um inerente aumento do risco. A complexidade
provavelmente indica que os controles não foram simplificados ou gerenciados de forma consistente e
apresenta mais pontos em que os controles podem falhar. A inconsistência nos controles também significa
inconsistência na documentação dos mesmos: o que confunde ainda mais a TI, os reguladores e os
parceiros de negócios.
Falta de flexibilidade. A complexidade gera inflexibilidade. A organização de TI se torna tão concentrada

em acionar uma enorme quantidade de processos de conformidade que o desempenho, o
desenvolvimento e o suporte de TI aos negócios são degradados. Os desenvolvedores e os negócios
ficam completamente confundidos em um labirinto de diversas abordagens e requisitos de controle,
abordados sem nenhuma consistência ou lógica.
Vulnerabilidade e exposição. Uma abordagem reativa conduz finalmente a uma maior exposição e
vulnerabilidade. Isto é mais um resultado da complexidade: todos estão concentrados em sua área
específica de conformidade e ninguém tem uma visão global. Ninguém está vendo os controles de
maneira abrangente. A atenção está voltada para o que se encontra exatamente defronte deles, e não
para o que o negócio precisa fazer para se proteger a longo prazo. Esforços de conformidade com TI
variáveis e independentes conduzem a dificuldades para demonstrar a aplicação e auditar a
conformidade.

As questões precedentes de uma abordagem reativa à conformidade com TI se somam umas às outras. A
falta de visibilidade acarreta o uso desperdiçado e ineficiente dos recursos. Os recursos desperdiçados devido
a abordagens variáveis de TI acarretam complexidade. A complexidade e a inflexibilidade resultam em maior
vulnerabilidade e exposição para a organização.
A conformidade proativa com TI simplifica a TI e reduz custos

Uma abordagem proativa à conformidade implica uma visão geral — enxergar a floresta além das árvores.
Por outro lado, uma abordagem reativa de conformidade com TI conduz a maior exposição e
complexidade, uma abordagem proativa fortalece o departamento de TI e reduz os riscos de exposição.
As organizações que procuram construir um programa proativo de conformidade com TI podem

gerenciar seus custos por meio de:
Sustentabilidade. As demandas de conformidade com TI não estão ficando mais simples — elas estão
crescendo em número e complexidade. A conformidade não se trata mais de auditorias anuais; ela
agora envolve uma supervisão continua à medida que o negócio muda. Os negócios mudam
rapidamente — particularmente o departamento de TI. Usuários são adicionados, trocam de função e se
vão. São estabelecidas novas conexões com parceiros de negócios — outras são desfeitas. A infra-
estrutura e as aplicações da TI se consertam, e as configurações mudam. A conformidade precisa ser uma
parte contínua dos processos de TI. Isso só é possível se a organização tem uma abordagem estratégica
para gerenciar controles de iniciativas de conformidade. Uma abordagem proativa para supervisar e
fortalecer a conformidade conduz a um gerenciamento sustentável dos riscos e da conformidade de TI.
Consistência. Uma abordagem proativa à conformidade com TI fundamenta a consistência dos controles
de conformidade em toda a empresa. A visão global é mantida. O programa proativo de conformidade
com TI relaciona os controles em uma estrutura de trabalho comum, impulsionando os controles existentes
e evitando controles e processos redundantes. Isso resulta em uma organização que acha mais fácil de
abordar, interpretar e gerenciar a conformidade.
Eficiência. A consistência conduz à eficiência. À medida que a organização procura aproveitar os

controles e processos de TI existentes, visando à consistência, existe uma redução nos recursos necessários
para cumprir com os requisitos de conformidade. Os negócios também acham mais fácil a conformidade,
porque têm uma visão consistente dos processos de conformidade com TI e enfrentam demandas
reduzidas de avaliação da mesma.
Transparência. Um programa proativo de conformidade com TI construído em uma estrutura comum para
a conformidade com TI acarreta uma maior transparência. Informar sobre a conformidade se torna um
processo simples em vez de um labirinto de relatórios sobre abordagens redundantes e inconsistentes.

A conformidade proativa com TI conduz à inteligência normativa e de riscos
Uma abordagem proativa de conformidade com TI conduz a uma empresa voltada para o futuro,
minimizando o risco no curso dos negócios, em vez de tentar resolver os problemas reagindo ao risco e
controlando as questões à medida que aparecem. A inteligência normativa e de riscos é um componente-
chave da conformidade com TI proativa, à medida que as organizações objetivam superar o ambiente
normativo.
As empresas reativas não sabem como será o próximo conjunto de normas. Na ausência de um programa
de conformidade proativo, elas são forçadas a responder de uma das seguintes formas:
1. Reagindo aos novos requisitos à medida que aparecem, ou

2. Sendo pegas desprevenidas por algo que ignoram completamente.
As empresas com um programa proativo de conformidade com TI estão vendo para onde os acontecimentos
apontam. Elas entendem as questões táticas de curto prazo mas também têm a habilidade de enxergar as
questões estratégicas de longo prazo. Um programa proativo de conformidade supervisa continuamente o
ambiente externo que causa impacto sobre os próprios negócios, como legislação iminente, casos nos
tribunais, riscos geopolíticos e as novas ameaças que estão surgindo. Isso faz da TI um valioso elemento no
gerenciamento de riscos corporativos. A TI é uma ativadora que ajuda proativamente a organização a lidar
com o que possa surgir.

Conformidade proativa com TI requer uma estrutura comum

Uma boa casa se constrói sobre alicerces sólidos. No caso da conformidade com TI, uma abordagem
proativa requer uma base sólida construída sobre uma estrutura de trabalho comum. Se várias pessoa
construindo uma mesma casa tivessem projetos diferentes, o resultado seria desastroso. A forma de
conseguir sustentabilidade, consistência, eficiência e transparência na conformidade com TI consiste em
projetar processos de controle e conformidade sobre uma estrutura de arquitetura comum.
Do ponto de vista da empresa, não existe uma estrutura única que possa cumprir com o conjunto completo
de necessidades de conformidade de toda a empresa. Para que uma empresa alcance uma visão do GRC
que abarque toda a empresa, é necessário que a estrutura de conformidade com TI se ajuste às estruturas de
outros negócios — como as COSO Internal Control and Enterprise Risk Management Frameworks, o padrão
4360:2004 da Austrália/Nova Zelândia, vários padrões ISO, assim como as estruturas usadas pelos auditores. O
que se consegue não é uma estrutura única, e sim uma hierarquia de estruturas que operam em harmonia
entre elas.
Além de uma estrutura de conformidade com TI precisar lidar com estruturas de conformidade e
gerenciamento de riscos dentro do negócio, ela também precisa lidar com estruturas relacionadas dentro
da TI. As estruturas relacionadas com GRC de TI incluem:
ISO/IEC 27002:2005. Essa é a principal estrutura para gerenciar riscos de TI e conformidade, e tem a mais
ampla abordagem e aceitação.
COBIT. Oferece a estrutura de trabalho mais favorecida pelos auditores. Para que o gerenciamento de
riscos e a conformidade com TI sejam efetivos, é necessário que a estrutura de TI tenha relação com os
objetivos de controle do COBIT.
ITIL. Fornece uma estrutura para gerenciar e distribuir processos de TI.
Definindo a estrutura
Enquanto existem estruturas de trabalho diferentes mas relacionadas envolvidas em uma visão abrangente do
GRC de TI, um programa efetivo de conformidade com TI deve se centrar em uma única estrutura e trabalhar
em harmonia com o resto.
A estrutura de trabalho mais flexível atualmente para uma abordagem proativa de risco e conformidade
com TI é a ISO/IEC 27002:2005 (ISO 27002). As organizações deveriam considerar desenvolver seus
programas de risco e conformidade com TI com base na 27002 porque:
Oferece a maior flexibilidade O padrão não foi criado para um único fim, setor ou tamanho de
organização. Ela oferece às empresas de TI uma quantidade significativa de flexibilidade para definir
como a conformidade opera dentro das demandas específicas de uma empresa.

Evita ser prescritiva. Ela foi criada para oferecer orientação sobre como ter uma perspectiva global, ao
mesmo tempo que reconhece que diferentes empresas de culturas, indústrias e dimensões diferentes
terão requisitos diversos para o gerenciamento de riscos e conformidade com TI.
Oferece uma abordagem comum. A ISO 27002 é reconhecido internacionalmente e é utilizada por
diversas empresas ao redor do mundo. Isso é significativo para empresas que sofrem o impacto da
ampliação, enquanto gerenciam uma gama de conexões e relações com parceiros de negócio. Uma
estrutura comum para definir e avaliar a conformidade entre parceiros de negócios é essencial.
Utiliza práticas recomendadas. A ISO 27002 se concentra em estruturas e práticas recomendadas. Ela
proporciona orientação ao definir estruturas de controle e indicações de implementação.
Enfatiza a necessidade da avaliação de riscos. Conformidade envolve avaliação de riscos. O foco do

ambiente normativo deixou de ser a verificação, e as empresas passaram a demonstrar que
compreendem seus ambientes operacionais internos e externos, e que gerenciam a conformidade
conforme o risco que elas enfrentam.iv
Oferece uma trajetória de certificação. Para aqueles que desejam obter uma certificação de
conformidade com uma estrutura de trabalho, a ISO 27002 tem um padrão de certificação
correspondente à ISO/IEC 27001.
Estágio final da conformidade com TI — uma definição, cumprimento geral

O propósito de uma estrutura de trabalho comum para definir a arquitetura de controle em um programa de
conformidade com TI é definir os controles uma vez e demonstrar a conformidade com uma gama de
requisitos e normas. Isso também permite à empresa monitorar continuamente o risco no dinâmico e extenso
ambiente de negócios atual.
Ao utilizar a ISO 27002, uma empresa deve objetivar o mapeamento dos controles definidos na estrutura para
os requisitos de conformidade no ambiente normativo, assim como os requisitos resultantes de políticas e
procedimentos corporativos. A empresa monitora o ambiente de controle da TI para garantir que os riscos
sejam gerenciados dentro dos seus limites de tolerância e do desejo de assumi-los.
Abordando a conformidade protiva com a ISO 27002

A ISO 27002 fornece a estrutura ideal para definir um conjunto completo de controles de TI. As empresas
consideram o padrão completo na sua profundidade e que oferece a flexibilidade de adaptá-lo às suas
necessidades específicas.
Avaliação e tratamento de riscos. A vantagem da ISO 27002 começa com seu foco inicial na necessidade
de avaliação e tratamento de riscos. Para que os controles de TI sejam efetivos em gerenciar, minimizar e
evitar os risco de TI, é necessário que se estabeleça uma compreensão do risco. Somente a partir de um
entendimento do risco que os negócios enfrentam é possível escolher os controles apropriados para
gerenciar e minimizar esse risco. A orientação normativa também requer que sejam estabelecidos os
processos de avaliação de risco. Um programa proativo de conformidade é aquele que está
continuamente avaliando e tratando o risco.

Política de segurança. A responsabilidade pela segurança e pelos controles de TI não é só da TI — ela se

estende, até certo ponto, a qualquer usuário do ambiente. A ISO 27002 oferece bases sólidas para o
gerenciamento de riscos e controles de TI, fornecendo orientação sobre a estrutura de uma ampla
política de segurança das informações apoiada pelo gerenciamento, e comunicada e confirmada pelo
conjunto de usuários do ambiente. O documento de políticas de segurança deve ser mantido e revisado
periodicamente para garantir que seja consistente com os requisitos em constante transformação nos
negócios. É esse documento que determina o contexto para a definição e a aplicação dos controles de
TI para fins de conformidade. Um programa proativo de conformidade é aquele que possui uma política
manifesta e definida.
Organização da segurança das informações. A ISO 27002 fornece o contexto para o gerenciamento de
segurança das informações fortalecendo a organização da segurança para definir e aplicar os controles
e a conformidade de TI. Isso inclui o suporte do gerenciamento e o compromisso com a segurança das
informações, a alocação de responsabilidade e as relações entre partes internas e externas.
Gerenciamento de ativos. A definição dos controles no contexto da proteção de ativos corporativos é

fundamental para a conformidade. A ISO 27002 estabelece as bases para a conformidade com TI
definindo a responsabilidade pelos ativos ou sua propriedade; assim como os requisitos para a
manutenção de um inventário contínuo tanto dos ativos tangíveis como dos intangíveis — como
hardware, software, informações e relações de negócios. Quando os ativos são definidos
adequadamente, eles podem ser classificados ou rotulados: os requisitos de conformidade e os controles
de suporte podem ser mapeados em seus contextos e relacionamentos específicos. Um programa
proativo de conformidade compreende a gama de ativos da empresa e mapeou os controles e requisitos
para esses ativos.
Segurança de recursos humanos. O elemento humano é o fator mais difícil de ser controlado na
segurança de TI. A ISO 27002 estabelece a estrutura para conformidade definindo claramente a
necessidade de atender as funções e as responsabilidades de segurança, riscos e conformidade de TI em
toda a base de usuários. Isso inclui funcionários, prestadores de serviços, terceiros e até trabalhadores
temporários. Todos os usuários devem entender a política e ser treinados de maneira adequada em suas
funções e responsabilidades. O padrão também oferece orientação para o controle de direitos de
acesso em todo o processo do relacionamento — da contratação ao término do contrato. Um programa
proativo de conformidade reconhece que o elemento humano é o maior risco para a conformidade e
comunica, gerencia e controla a conformidade no contexto das relações de trabalho e de negócios.
Segurança física e ambiental. A segurança e o controle de hardware, software e informações de TI estão

sujeitos à segurança do ambiente físico mais amplo. A ISO 27002 reconhece essa dependência e oferece
orientação para proteger o ambiente físico e os ativos da organização e para oferecer proteção e
precauções ambientais. Um programa proativo de conformidade possibilita uma visão abrangente de
controles que abarca a proteção física e lógica dos ativos corporativos.
Gerenciamento de comunicações e operações. A maior parte dos requisitos de controle e conformidade

com TI se refere a detalhes do gerenciamento de operações de TI e do ambiente de comunicação mais
amplo. A ISO 27002 oferece orientação sobre o controle de operações, desenvolvimento, testes,
procedimentos de backup, gerenciamento de configuração e comunicações/redes de TI. Um programa
proativo de conformidade monitora os ambientes de comunicações e operações e garante que os
controles apropriados e a separação de tarefas estão estabelecidos para as operações de TI.

Controle de acesso. O principal aspecto da conformidade com TI é: “quem tem acesso a quê?” O
controle de acesso é um componente essencial da ISO 27002. Ele atende os controles de provisionamento
de usuários, a concessão e a análise do acesso a informações e sistemas, a revogação do acesso, a
autenticação de usuários e o gerenciamento de privilégios. Um programa proativo de conformidade
monitora e aplica controles de acesso na infra-estrutura e nos aplicativos de TI.
Aquisição, desenvolvimento e manutenção de sistemas de informação. Os controles integrados à TI (em

oposição ao controle "band-aid") são mais eficazes. A ISO 27002 aplica a conformidade oferecendo uma
perspectiva do controle em todos os processos de aquisição, desenvolvimento e manutenção de TI. Um
programa proativo de conformidade identifica pontos de exposição e vulnerabilidades nas etapas de
aquisição e desenvolvimento e implementa controles para preencher requisitos de conformidade e
controlar riscos antes que os sistemas sejam implantados.
Gerenciamento de incidentes com a segurança das informações. Os planos de controle mais bem
estabelecidos ainda são suscetíveis a falhas ocasionais. Os programas de conformidade são
freqüentemente medidos em relação à capacidade da empresa de detectar e responder rapidamente a
violações de controles e a condutas antiéticas. As empresas que não tem um plano de resposta
estabelecido enfrentarão sérias dificuldades com a conformidade. A ISO 27002 fornece uma perspectiva
abrangente de notificação, gerenciamento e investigação de incidentes no ambiente de TI. Um
programa proativo de conformidade está preparado para responder quando são notificados violações
de controle ou comportamentos maliciosos.
Gerenciamento da continuidade de negócios. Um componente significativo da conformidade e do

controle é a disponibilidade constante dos sistemas de fornecer a continuidade das operações de
negócios. A ISO 27002 gerencia riscos e controles estabelecendo procedimentos apropriados para a
preparação e a recuperação de desastres. Um programa proativo de conformidade tem planos de
continuidade de negócios estabelecidos pela empresa e continua ágil ao enfrentar incidentes e
desastres.
Conformidade. A ISO 27002 atende diretamente a supervisão e o gerenciamento de conformidade com

requisitos legais, técnicos e de negócios. A proteção de informações pessoais e de propriedade
intelectual são componentes essenciais do controle de TI. Um programa proativo de conformidade é
aquele em que a conformidade e os planos de monitoração são aplicados aos controles de TI
estabelecidos na estrutura da ISO 27002.

Por onde começar a desenvolver um programa sustentável e efetivo

de conformidade com TI?
Um programa sustentável e efetivo de conformidade com TI não é desenvolvido da noite dia para o dia. A
empresa precisa de uma estratégia. As empresas que procuram desenvolver um programa proativo de
conformidade com TI focalizado na sustentabilidade e na efetividade devem seguir estes cinco passos:
1. Estabelecer o seu estatuto de gerenciamento e conformidade de riscos de TI. Um programa proativo

de conformidade com TI começa com o entendimento do que a TI está tentando alcançar. O melhor
para a empresa é primeiro estabelecer a visão, a missão e os princípios do gerenciamento de riscos e
da conformidade com TI.
Parte do processo de criação desse estatuto também é identificar as funções envolvidas no

gerenciamento de riscos e na conformidade com TI. Como a TI possibilita grande parte dos negócios,
os coordenadores de negócios devem se empenhar em definir o estatuto para o gerenciamento de
riscos e conformidade com TI. Ele deve incluir as funções de auditoria, finanças, linhas de negócios,
desenvolvimento, arquitetura, conformidade corporativa, risco corporativo e segurança física como
interessados em desenvolver um estatuto proativo de gerenciamento de riscos e conformidade com TI.
2. Desenvolver a sua estrutura e política de gerenciamento de risco e conformidade com TI. Depois de
estabelecer seu estatuto de gerenciamento de riscos e conformidade com TI, o próximo passo é
escolher sua estrutura. Conforme discutido, a ISO 27002 é a estrutura mais ágil e completa para
gerenciar riscos e a conformidade com TI no departamento de TI.
Vincule os requisitos de controle e conformidade com TI à estrutura, assim como a políticas,

procedimentos e controles de TI existentes. Os controles de TI devem ser catalogados na estrutura e
correlacionados aos tipos de informações - estruturadas e não estruturadas.
3. Avaliar o estado atual da conformidade com TI. O passo seguinte é compreender a sua posição. Para
passar de um programa reativo de conformidade com TI a um proativo, é necessário compreender o
estado atual do ambiente de controles, processos e aplicativos de TI. As empresas devem inventariar
e avaliar seus ativos de informações estruturadas e não estruturadas como parte do processo de
avaliação, de modo que os controles possam ser aplicados de maneira apropriada.
4. Determinar o estado desejado da conformidade com TI. Partindo da avaliação do estado atual, a
empresa pode determinar lacunas nos controles, assim como identificar sobreposições de controles e
processos diferentes, para começar a criar as bases em direção à conformidade proativa.
A empresa deveria implementar um plano de ação para atender lacunas ou deficiências nos
controles e construir controles e processos de TI para satisfazer a conformidade com a visão e o
alinhamento da ISO 27002. Para avançar a um estado de conformidade proativa com TI, esta
etapa do processo envolve a identificação de prioridades, projetos, orçamentos e propriedade.

5. Medição, avaliação e geração de relatórios. Os negócios são dinâmicos e em fluxo contínuo —

portanto, um programa proativo de conformidade com TI monitora continuamente os ambientes de
negócios internos e externos para medir, avaliar e gerar relatórios sobre o estado de conformidade.
Cada ponto de controle da estrutura da ISO 27002 deve conter indicadores importantes de controle e
risco por meio dos quais a empresa pode monitorar a conformidade e o cumprimento em geral.

Sobre o autor
Michael Rasmussen, presidente
Tel: +1.888.365.4563
E-mail: mrasmussen@Corp-Integrity.com
Blog: http://corp-integrity.blogspot.com
Michael Rasmussen é a maior autoridade em compreensão de GRC (Governance, Risk and Compliance, controle, risco e
conformidade). Ele é um orador programático muito procurado, autor e colaborador sobre questões de GRC em todo o
mundo, reconhecido por ser o primeiro analista a definir e modelar o mercado de GRC para serviços profissionais e de
tecnologia.
Com mais de 15 anos de experiência, o objetivo de Michael é ajudar as empresas a definir processos de GRC que sejam
sustentáveis, consistentes, eficientes e transparentes. Sua liderança conceitual se relaciona com:
Treinar profissionais de GRC nas empresas para identificar, compreender e analisar estratégias, geradores, marcas e
práticas recomendadas de GRC;
Auxiliar os fornecedores de tecnologia com o alinhamento de suas estratégias de marketing e produto às necessidade
e aos requerimentos dos profissionais de GRC; e
Colaborar com empresas de serviços profissionais em seu portfólio de ofertas de serviços de GRC para que estejam
melhor equipadas para servir a seus respectivos clientes.
Um líder no conhecimento de padrões de risco e conformidade, estruturas, normas e legislação, Michael pretende
melhorar a integridade corporativa por meio de iniciativas avançadas de GRC. Ele desempenhou cargos de liderança
contribuindo para relatórios e comitês de políticas públicas do congresso americano e atualmente participa do Leadership
Council and Steering Committee of the Open Compliance and Ethics Group. Michael foi amplamente mencionado na
imprensa e é respeitado por seus comentários em canais de notícias.
Em junho de 2007, a Treasury & Risk o reconheceu como uma das 100 pessoas mais influentes em finanças, com elogios
ressaltando especificamente seu trabalho “Governance and Compliance: Saving the Planet and the Corporation”
(Controle e conformidade: salvando o planeta e a empresa).
Corporate Integrity, LLC

Corporate Integrity, LLC é uma empresa consultiva de estratégia e pesquisa que fornece treinamento, pesquisa e análise
sobre controle corporativo, gerenciamento de riscos e conformidade.
Por meio de pesquisas, interações e análises contínuas, a Corporate Integrity é a maior autoridade no entendimento
de como as empresas podem promover uma cultura de “fazer o que se diz” — em que a integridade é essencial para
as práticas de GRC. A Corporate Integrity treina empresas e os profissionais de GRC dessas organizações na obtenção
de sustentabilidade, consistência, eficiência e transparência em suas práticas corporativas de GRC para manter uma
posição de integridade alinhada aos valores corporativos e ao desempenho dos negócios.

Notas
i
O peso do ambiente normativo não está se tornando mais leve. O Wall Street Journal divulgou o aumento do
ambiente normativo na situação política atual — segunda-feira, 24 de março de 2008 — “Political Pendulum
Swings Toward Stricter Regulation” (O pêndulo político balança em direção a normas mais rígidas)
(http://s.wsj.net/article/SB120631764481458291.html?mod=fpa_whatsnews)
A Computer World trata sobre o caso do Atlanta’s Piedmont Hospital no artigo “HIPAA: The 42 Questions HHS
ii
Might Ask” (HIPPA: as 42 perguntas que o HHS pode fazer)

(http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9025253&pa
geNumber=1)
Os reguladores financeiros dos EUA incluem o Federal Reserve Board, Office of the Comptroller of the
iii
Currency, National Credit Union Association, Federal Depository Insurance Corporation e o Office of Thrift
Supervision. Juntos, eles formam o Federal Financial Institutions Examination Council (www.ffiec.gov) e
desenvolveram mais de uma dezena de manuais do regulador para avaliar a conformidade com TI.
iv
“Normas baseadas em princípios tratam basicamente de resultados ou fins, enquanto normas baseadas em
regras tratam dos meios. As normas baseadas em princípios permitem que as empresas decidam como melhor
alcançar os resultados necessários e, portanto, permitem um alinhamento muito maior das normas às práticas
recomendadas de negócios. . . . Uma abordagem mais baseada em princípios permite que as organizações
aumentem suas possibilidades de escolha sobre esse tema. Resumindo, o uso de princípios é uma abordagem
mais madura às normas que a daquelas que se baseiam em regras.” Fonte: John Tiner, “Principles based
regulation: the EU context” (Normas baseadas em princípios: o contexto da UE)
(http://www.fsa.gov.uk/pages/Library/Communication/Speeches/2006/1013_jt.shtml). “Nosso sistema
normativo baseado em regras é prescritivo e faz com que nos concentremos em regras específicas de
conformidade. Devemos avançar para uma estrutura que dê aos reguladores mais flexibilidade para trabalhar
com entidades na conformidade dentro da idéia de princípios normativos.” Fonte: Hank Paulson, ministro da
economia dos EUA, em discurso ao Economic Club of New York em novembro de 2006.


Conformidade de TI

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Conformidade de TI

Transféré par

Droits d'auteur :

Formats disponibles

RSA, a divisão de segurança da EMC

Desenvolvendo um programa sustentável

Preparado por: Michael Rasmussen

Corporate Integrity, LLC

© 2008, Corporate Integrity, LLC. Todos os direitos reservados.

1. Estabelecer o seu estatuto de conformidade e risco de TI.

© 2008, Corporate Integrity, LLC. Todos os direitos reservados.

Impacto da conformidade sobre a TI

Os geradores de conformidade que causam impacto sobre a TI incluem:

© 2008, Corporate Integrity, LLC. Todos os direitos reservados.

Distribuição geográfica. Já é suficientemente desafiador cumprir com um complexo conjunto de leis e

© 2008, Corporate Integrity, LLC. Todos os direitos reservados.

A TI tem um duplo papel em controle, risco e conformidade

O gerenciamento de riscos/segurança de TI tem atualmente uma interessante função na dicotomia do GRC

© 2008, Corporate Integrity, LLC. Todos os direitos reservados.

Transformando a conformidade com TI de reativa a proativa

Custos crescentes de conformidade. Enquanto a organização se ocupa em resolver problemas individuais

Complexidade desnecessária. Abordagens variáveis da conformidade com TI apresentam maior

Falta de flexibilidade. A complexidade gera inflexibilidade. A organização de TI se torna tão concentrada

© 2008, Corporate Integrity, LLC. Todos os direitos reservados.

A conformidade proativa com TI simplifica a TI e reduz custos

As organizações que procuram construir um programa proativo de conformidade com TI podem

Eficiência. A consistência conduz à eficiência. À medida que a organização procura aproveitar os

© 2008, Corporate Integrity, LLC. Todos os direitos reservados.

A conformidade proativa com TI conduz à inteligência normativa e de riscos

1. Reagindo aos novos requisitos à medida que aparecem, ou

© 2008, Corporate Integrity, LLC. Todos os direitos reservados.

Conformidade proativa com TI requer uma estrutura comum

ITIL. Fornece uma estrutura para gerenciar e distribuir processos de TI.

© 2008, Corporate Integrity, LLC. Todos os direitos reservados.

Enfatiza a necessidade da avaliação de riscos. Conformidade envolve avaliação de riscos. O foco do

Estágio final da conformidade com TI — uma definição, cumprimento geral

Abordando a conformidade protiva com a ISO 27002

© 2008, Corporate Integrity, LLC. Todos os direitos reservados.

Política de segurança. A responsabilidade pela segurança e pelos controles de TI não é só da TI — ela se

Gerenciamento de ativos. A definição dos controles no contexto da proteção de ativos corporativos é

Segurança física e ambiental. A segurança e o controle de hardware, software e informações de TI estão

Gerenciamento de comunicações e operações. A maior parte dos requisitos de controle e conformidade

© 2008, Corporate Integrity, LLC. Todos os direitos reservados.

Aquisição, desenvolvimento e manutenção de sistemas de informação. Os controles integrados à TI (em

Gerenciamento da continuidade de negócios. Um componente significativo da conformidade e do

Conformidade. A ISO 27002 atende diretamente a supervisão e o gerenciamento de conformidade com

© 2008, Corporate Integrity, LLC. Todos os direitos reservados.

Por onde começar a desenvolver um programa sustentável e efetivo

1. Estabelecer o seu estatuto de gerenciamento e conformidade de riscos de TI. Um programa proativo

Parte do processo de criação desse estatuto também é identificar as funções envolvidas no

Vincule os requisitos de controle e conformidade com TI à estrutura, assim como a políticas,

© 2008, Corporate Integrity, LLC. Todos os direitos reservados.

5. Medição, avaliação e geração de relatórios. Os negócios são dinâmicos e em fluxo contínuo —

© 2008, Corporate Integrity, LLC. Todos os direitos reservados.

Corporate Integrity, LLC

© 2008, Corporate Integrity, LLC. Todos os direitos reservados.

Might Ask” (HIPPA: as 42 perguntas que o HHS pode fazer)

© 2008, Corporate Integrity, LLC. Todos os direitos reservados.

Vous aimerez peut-être aussi