Coluna Firewall IDGNow por Marcos Smola

Distribuio livre se mencionada a fonte e o autor

101 Julho de 2008

IT GRC: o que significa na prtica.

O termo GRC vem ganhando grande reconhecimento na rea de negcio e representa uma nova abordagem integrada e adotada por organizaes modernas para enderear os temas Governana, Gerenciamento de Risco e Conformidade. So domnios com grande afinidade entre si e podem ser empregados em qualquer rea da organizao, apesar de estarem sendo mais largamente usados nas reas financeira e de tecnologia da informao. Sua existncia se deu como reflexo da percepo dos gestores de que era possvel reduzir custos e aumentar a eficincia dos projetos que tratavam dos trs temas de forma isolada atravs de um framework integrado. Tudo isso com o propsito legtimo de aumentar a eficincia dos negcios e adicionar valor atravs da melhoria dos processos de tomada de deciso e planejamento estratgico. Podemos descrever Governana como um atributo de administrao dos negcios que procura criar um nvel adequado de transparncia atravs da definio clara de mecanismos de tomada de deciso e gesto que iro garantir a aderncia aos processos e polticas estabelecidas. Gerenciamento ou Gesto de Riscos, por sua vez, pode ser entendido como o processo pelo qual uma empresa define seu apetite de risco, identifica os impactos potenciais e prioriza os limites de tolerncia ao risco baseada nos objetivos de negcio. Conformidade ou simplesmente Compliance, em Ingls, o processo que estabelece meios de registro e monitoramento de procedimentos, polticas e controles necessrios para demonstrar aderncia a requerimentos legais, polticas internas ou regulamentaes setoriais. Guardadas as devidas propores e particularidades de cada negcio, a abordagem GRC prope a reduo de sobreposies e, portanto, de duplicao de esforo e custo para manter frameworks de governana como COSO (Committee of Sponsoring Organizations of the Treatway Commission), ITIL (Information Technology Infrastructure Library) e COBIT (Control Objectives for Information and related Technology); frameworks de gesto de riscos como ISO270001 e frameworks de conformidade como SOX (Sarbanes Oxley), BASELII (Basilia II) e ainda regulamentaes setoriais especficas. Como resultado da demanda crescente dos requerimentos de conformidade e o aumento do custo dos riscos, as empresas iniciaram a integrao que passou proativamente a enderear toda sorte de risco a partir de um nico ponto de observao. O risco da informao, risco operacional e o prprio risco de no conformidade passaram a fazer parte do radar de GRC. Com isso, a rea ganhou mais autonomia, poder, visibilidade, mas tambm responsabilidade, dado o impacto potencial que estes trs domnios juntos podem gerar, positiva ou negativamente, no resultado (bottom line), das empresas.

www.semola.com.br

marcos@semola.com.br

Coluna Firewall IDGNow por Marcos Smola

Distribuio livre se mencionada a fonte e o autor

Para colocar tudo isso em prtica, o primeiro passo deve ser mapear todos os requerimentos genricos de governana, gesto de riscos e conformidade que incidem sobre todas as indstrias e ento mapear aqueles especficos e inerentes natureza da atividade comercial da empresa. A partir da, preciso reunir os frameworks implementados e mantidos pela empresa e procurar por sobreposies. Sejam atividades de gerenciamento de projetos, sejam atividades de desenvolvimento de polticas ou mesmo atividades regulares de teste de controle e assurance, dado como certo encontrar pontos de redundncia em que se pode empregar um esforo nico, mais eficiente e econmico. Se a empresa j emprega frameworks internacionais reconhecidos pelo mercado, possvel ainda ganhar tempo procurando por trabalhos que j oferecem o resultado do mapeamento entre diversos esquemas. A ISACA (Information System Audit and Control Association), por exemplo, disponibiliza anlises completas que mapeiam os controles do COBIT contra diversos outros frameworks de segurana, conformidade e governana. Com o primeiro passo completo, o prximo deve ser a adoo de uma abordagem baseada em risco, ou seja, assumindo o resultado da anlise de riscos como a varivel chave de definio de prioridades e, portanto, de classificao da importncia dos controles multifuncionais que suportam um ou mais esquemas de governance, risk e compliance. Nesta etapa j ser possvel ver os benefcios do GRC, pois ao invs de ter os originais trs pratos cheios de controles especficos, ser possvel ter agora um nico prato com um nmero menor de controles, alm de organizados e rotulados individualmente por sua relevncia em relao a cada um dos esquemas de GRC, por exemplo, ISO27001 e SOX. A experincia prtica me diz que convm assumir um esquema de mais alto nvel como o esquema me, como o COBIT, e ento realizar os mapeamentos dos demais em relao a ele. Desta forma, tendo a tabela de mapeamento nas mos, quando estivermos falando, por exemplo, de um controle de segurana ISO27001 relacionado continuidade de negcios: 14.1.2 Business continuity and risk assessment, visualizaremos sua relao direta como o objetivo de controle do COBIT: DS4.1 IT continuity framework, assim como sua relevncia para o esquema de conformidade SOX ou qualquer outro relevante para a indstria em questo, baseado no rtulo do controle. Sob o ponto de vista operacional, esta integrao proporcionar uma linguagem comum entre os diversos nveis da organizao bem como entre os diversos domnios e esquemas de governana, risco e conformidade, permitindo maior fluidez das decises e o mais importante, a maximizao dos investimentos a partir de uma viso integrada dos controles e suas implicaes. Ao mesmo tempo, o longo e doloroso processo de definio e justificao dos oramentos e investimentos ser facilitado pela boa visibilidade que se ter da prioridade dos controles e seu papel nos diferentes esquemas. importante ainda reconhecer a necessidade de uma gesto eficiente da rea de GRC, que mesmo integrando trs grandes e complexos domnios, dever manter mecanismos de acompanhamento de progresso segregado, onde se possa enxergar os principais milestones e requerimentos de assurance de cada esquema e reagir a eles adequadamente.

www.semola.com.br

marcos@semola.com.br

Coluna Firewall IDGNow por Marcos Smola

Distribuio livre se mencionada a fonte e o autor

Garantia ou simplesmente assurance, em Ingls, outro tema de extrema importncia para o contexto de governana, risco e conformidade, pois , na verdade, o resultado que se espera de um bom trabalho integrado feito pela rea de GRC. Para isso, crucial estabelecer um framework especial de assurance que ir definir os fluxos de relatrio de progresso dos diferentes esquemas, os mecanismos para o armazenamento das evidncias e ainda os diversos pontos de checagem de qualidade ao longo do trabalho. Tudo isso para evitar surpresas desagradveis e a descoberta de que o trem estava fora dos trilhos quando j for tarde demais. Ainda h muito mais sobre GRC e seus desafios para ser descoberto, desenvolvido e experimentado, mas possvel comear esta jornada acessando o site da OCEG (Open Compliance and Ethics Group) em www.oceg.org, associao sem fins lucrativos que, de maneira competente, promove a integrao desses trs importantes domnios.

Marcos Smola Global IT GRC Manager da Shell International Limited Gas & Power na Holanda, CISM, BS7799 Lead Auditor, PCI Qualified Security Assessor; Membro fundador do Institute of Information Security Professionals of London. MBA em Tecnologia Aplicada, Professor da FGV com especializao em Negociao e Estratgia pela London School, Bacharel em Cincias da Computao, autor de livros sobre gesto da segurana da informao, governana e inteligncia competitiva. Visite www.semola.com.br ou contate marcos@semola.com.br
Nota: Este artigo expressa exclusivamente a opinio pessoal do autor, no representando necessariamente a opinio da empresa citada.

www.semola.com.br

marcos@semola.com.br