Gerenciamento de Conformidades – Parte 3

  • Article

Como utilizar e aplicar esse Guia?

Esta seção fornece resumo de como usar este guia para entender melhor os processos envolvidos no tratamento de obrigações de conformidade. A discussão no guia pode atuar como uma camada de abstração para definir os diferentes documentos de autoridade e para determinar e priorizar quais soluções de tecnologia ajudarão a lidar com as obrigações de conformidade da organização. Além disso, o guia ajuda o leitor a entender os benefícios de lidar com questões de conformidade em todas as fases do ciclo de vida do MOF 4.0 com base na SMF de GRC da camada de Gerenciamento: Estabelecer, Avaliar e Obedecer.

Organizações de todos os tipos precisam lidar com várias obrigações de GRC. Por exemplo, uma organização que lide com dados de transações de cartões de crédito provavelmente obedecerá aos requisitos do PCI DSS (Payment Card Industry Data Security Standard). Se aquela organização operar intencionalmente, pode também ter de lidar com dados cobertos por regulamentações da EUDPD (European Union Data Protection Directive). Além disso, muitos estados dentro dos Estados Unidos têm autorizações similares à EUDPD para proteger dados de PII (personally identifiable information - informações de identificação pessoal). Muitos dos requisitos de privacidade dentro desses documentos de autoridade também são representados pelos GAPP (Generally Accepted Privacy Principles) da AICPA, mas precisam de interpretação e análise adicionais por especialistas em GRC se os GAPP forem usados como um método para uma organização dos Estados Unidos lidar com requisitos da EUDPD. Até mesmo os dados dos funcionários de uma organização podem precisar de conformidade com regulamentações. Se uma organização dos Estados Unidos mantiver um plano de saúde para seus funcionários, os dados correspondentes estão sujeitos a regulamentações da lei americana HIPAA (Health Insurance Portability and Accountability Act).

Para alcançar objetivos de conformidade, executivos e gerência de TI devem assegurar que os controles de conformidade sejam coordenados com as metas da empresa e que o departamento de TI seja aprovado nas auditorias de conformidade exigidas.

Este guia aborda a conformidade com quatro importantes objetivos em mente:

  • Transferir o esforço da conformidade com requisitos de documentos de autoridade de GRC aplicáveis para produtos Microsoft existentes sempre que possível.
  • Usar soluções de parceiros Microsoft sempre que possível para permitir que produtos e tecnologias Microsoft tornem-se compatíveis através de um único plano.
  • Minimizar o impacto financeiro e nos negócios das mudanças e auditorias necessárias dentro do departamento de TI e na organização em geral.
  • Consolidar controles redundantes e atingir eficiências pela análise, implementação e manutenção de controles através de um processo centralizado e controlado pelo MOF.

Para alcançar essas metas, realize as seguintes tarefas:

  1. Reúna-se com os especialistas em GRC da organização para discutir metas e determinar como proceder. Se sua organização não tiver nenhum especialista em GRC, considere contratar um parceiro Microsoft qualificado ou uma empresa de auditoria para essa tarefa.
  2. Pesquise o Guia de Gerenciamento de Conformidade de TI para determinar qual orientação pode ajudar mais a atingir os objetivos de conformidade da organização. A fase de Planejamento do ciclo de vida do MOF fornece a estrutura necessária para assegurar que os processos de TI e os controles de conformidade implementados satisfaçam as metas definidas.
  3. Determine que as fases do ciclo de vida de Planejamento, Distribuição e Operação do MOF possam ser aplicadas eficientemente para assegurar o planejamento e o fornecimento apropriados de controles técnicos assim como manutenção contínua eficaz dos controles como mostrado na Tabela 4.1.
  4. Consulte a Tabela 5.1, “Categorias de Controle Mapeadas para Soluções de Tecnologia”, neste guia para determinar quaisquer novas tecnologias para enfocar. Consultando essa tabela, fica aparente que o Gerenciamento de Identidades é uma categoria de solução de tecnologia que pode ajudar na categoria de controle Gerenciamento e Administração de Segurança.
  5. Pesquise tecnologias específicas no “Capítulo 5: Soluções de Tecnologia Microsoft para Gerenciamento de Conformidade” para entender que tecnologias podem ajudar a lidar com os objetivos de controle restantes. Consulte a pasta de trabalho Recursos de Gerenciamento de Conformidade de TI e analise a guia Inventário de Funções de GRC para saber como recursos e funções de determinados produtos Microsoft podem ajudar a lidar com responsabilidades profissionais.
  6. Discuta idéias com especialistas em GRC para ajudar a adaptar o plano proposto para satisfazer necessidades e obrigações de conformidade exclusivas.
  7. Conclua um plano para incorporar as soluções de tecnologia, priorizar as categorias de controle restantes e desenvolver uma estratégia para implementá-las. Depois que o plano for analisado e aprovado pelos especialistas em GRC e pelo TI de sua organização, a verba pode ser alocada de acordo para implementar os controles apropriados.
  8. Execute o plano finalizado com o TI segundo a fase de Distribuição do MOF e com a guia auxílios de trabalho da pasta de trabalho recursos de Gerenciamento de Conformidade de TI. Esses auxílios de trabalho fornecerão orientação de implementação e configuração específicas para sua equipe de TI.
  9. Comece o processo de monitoramento, gerenciamento de incidentes e alinhamento de requisitos de GRC através das SMFs de Operação e Gerenciamento dentro do MOF.

Vamos ver no próximo post quais são as consequências de não se manter em conformidade e as oportunidades de negócios que poderemos ter em se deixando tudo em ordem.

Um abraço,

Rodrigo Dias