Tecnologia e Segurança de Informação para Executivos: Funções e IT Governance, Manuais, Projetos, Pesquisas de Informática

Baixe Tecnologia e Segurança de Informação para Executivos: Funções e IT Governance e outras Manuais, Projetos, Pesquisas em PDF para Informática, somente na Docsity! 1 Digital Insights Temas de tecnologia e segurança da informação para executivos 10 Segregação de funções Redução no número de perfi s de acesso é aliada das empresas no combate a fraudes 3 8 Continuidade de negócios Plano de gerenciamento é essencial para evitar impactos negativos em situações de crise Tendências em segurança da informação Compliance e privacidade de dados são prioridades, segundo pesquisa global 6 Governança e resultados Como alinhar a área de tecnologia da informação com a estratégia de negócio? INFORMATIVO Junho/2007 2 DIGITAL INSIGHTS Digital Insights é uma publicação destinada a clientes e colaboradores da Ernst & Young, que aborda questões rele- vantes para as empresas na área de tecnologia da informação. Alertamos os leitores para o fato de que as opiniões aqui expressas não devem ser utilizadas, de maneira isolada, para a tomada de decisão por parte das empresas. Isto porque existem particularidades atinentes a cada empresa que podem, eventualmente, alterar o enfoque transmitido na opinião. Recomendamos que, antes de a decisão ser tomada, as empresas discutam esses pontos de vista com seus consultores. Estamos à disposição para discutir nossas opiniões e sua aplicação em cada caso concreto. Mais informações sobre a área de Riscos Tecnológicos e Segurança da Informação com: Alberto Fávero (alberto.favero@br.ey.com) e Wilson Gellacic (wilson.gellacic@br.ey.com) ou pelo e-mail tsrs@br.ey.com Digital Insights é uma publicação da: Área de Comunicação e Gestão da Marca da Ernst & Young Brasil Jornalista Responsável: Rejane Rodrigues (Mtb 22.837-SP) Textos: Inaldo Cristoni, Nelson Rocco e Rejane Rodrigues Projeto Gráfi co: Rogério Weikersheimer 5 tecnologias irá “exacerbar” ainda mais essa necessidade de proteção à privacidade dos dados e informações sobre as pessoas. Riscos de terceiros Nesse sentido, certifi car-se de que os fornecedores também têm consci- ência dos riscos a que estão sujeitos dados e informações pessoais é muito importante. De acordo com a pesquisa, mais de um terço dos participantes afi rmou ter procedi- mentos formais de administração do risco de fornecedores. Para muitos, essa atitude leva à confi an- ça de que a administração do risco de fornecimento está sob controle. Na realidade, afi rma o relatório da pesquisa, dois terços das empresas consultadas acreditam que seus for- necedores e parceiros são capazes de cumprir suas políticas, procedimen- tos e normas. Uma tendência apontada no estudo é que os fornecedores, por sua vez, reconhecem cada vez mais a impor- tância da segurança da informação nas suas negociações com terceiros. Esse grupo informou que, neste ano, deverá investir mais tempo cumprindo os requisitos de certifi ca- ção de segurança da informação estabelecidos nos contratos fi rma- dos. “Por esse motivo, esperamos ver as auditorias SAS 70 e as cer- tifi cações ISO 27001 continuarem a ganhar destaque como meio para avaliar os controles da segurança da informação e demonstrar aos clien- tes a qualidade desses controles”, afi rma o relatório. Últimos 12 meses Próximos 12 meses 0% 60%40% Compliance Respostas múltiplas Proteção da privacidade e de dados pessoais Cumprimento dos objetivos das empresas 20% 42% 38% 41% 50% 56% 47% Prevê-se que compliance será prioridade para a segurança da informação nos próximos 12 meses 0% 40%30%20% 36% 6% 33% 21% 10% O total não é igual a 100% devido ao arredondamento Não abordam Procedimentos informais Procedimentos formais Procedimentos formais validados por terceiros Como as organizações abordam a administração do risco de fornecimento: O relatório da pesquisa afi rma que a proteção à privacidade e de dados pessoais continuará a ser uma prio- ridade para as empresas. Exigirá supervisão rigorosa por parte das organizações e a formalização cada vez maior de medidas para a dimi- nuição dos riscos. “A empresa que está preocupada com isso sairá na frente. A que ignora ou age de má-fé perde em vantagem competitiva”, avalia Fávero. O sócio da Ernst & Young conta que a privacidade dos dados tem sido um tema muito discutido nos Estados Unidos. Em sua avaliação, lá o consumidor é mais exigente que o brasileiro, as pessoas cobram muito mais das empresas com as quais se relacionam. Ainda segun- do ele, a convergência de mídias e 6 DIGITAL INSIGHTS Um aliado estratégico para o negócio O emprego dos conceitos de IT Governance e IT Effectiveness é imprescindível para que as empresas possam cumprir o desafi o de promover o alinhamento da área de tecnologia da informação com a estratégia de negócio A busca pelas melhores práticas de gestão ocupa, hoje, boa parte da agenda dos executivos das grandes corporações. Transparência, efi ci- ência operacional, maximização e retorno dos investimentos, adequação dos processos internos às leis e nor- mas internacionais, como Sarbanes-Oxley e Basiléia II, são requisitos essenciais no mercado cada vez mais globalizado. Nesse cenário, as empresas enfrentam o desafi o de promo- ver o alinhamento da área de tecnologia da informação com a estratégia de negócio para dar sustentação ao avanço de suas atividades. No meio corporativo é forte o movi- mento no sentido de transformar a área de TI em uma aliada estraté- gica. Mas, para atingir esse objetivo, é preciso contar cada vez mais com iniciativas que garantam o uso efi caz dos recursos tecnológicos. As prá- ticas mais usuais para atender com agilidade e efi ciência às demandas de negócio são a IT Governance e o IT Effectiveness, que ajudam a es- tabelecer critérios de defi nição, ges- tão e acompanhamento de resultados de investimentos em TI. A aplicação desses dois conceitos tornou-se uma tendência mundial por causa da importância do setor de TI no dia- a-dia das organizações. Enquanto o primeiro indica os caminhos que a área deve seguir para atender as metas da empresa, o IT Effectiveness é utilizado para medir os benefícios decorrentes da utilização dos recur- sos tecnológicos. “É uma aborda- gem sobre o papel da área de TI na estrutura de governança corpo- rativa de uma organização”, defi ne Zunara Carvalho, diretora-executi- va da área de Risk Advisory Servi- ces da Ernst & Young. Estudo divulgado pelo Massachussets Institute of Tech- nology (MIT), dos Estados Unidos, indica que os lucros das empresas que adotam as boas prá- ticas de governança de TI são, em média, 20% superiores ao das demais. Segundo Sergio Kogan, dire- tor-executivo da área de Riscos Tec- nológicos e Seguran- ça da Informação da Ernst & Young, por causa do porte das empresas e do tamanho do mercado, o Brasil é o país de maior destaque na im- plantação de programas de gover- nança de TI na América do Sul. “Os executivos estão empenhados em saber como melhorar os resulta- dos da organização”, afi rma. Mais investimentos em TI Um olhar sobre as pesquisas mais recentes comprova esse movimento. Nos últimos anos, os investimen- tos na área TI avançaram de forma expressiva no país e tendem a seguir em ritmo forte em 2007. O estudo Brasil IT Spending by State 2007, elaborado ela IDC Brasil, mostra que no exercício passado as empresas brasileiras aplicaram o equivalente a R$ 39 bilhões em TI. A projeção para este ano gira em torno de R$ 45 bilhões. Com isso, a participação de TI no Produto Interno Bruto (PIB) poderá passar de 2% para 2,2%. Já o Instituto Sem Fronteiras (ISF) fez um mapeamento das tendências de investimentos em TI para 2007 a partir de consultas a 940 empresas de diversos setores, como fi nanças, governo, manufatura, óleo e gás, mi- neração, comércio, serviços públicos e agronegócio, que faturam acima de R$ 50 milhões por ano. E concluiu que o orçamento de TI crescerá dois dígitos pelo terceiro ano consecuti- vo, com os investimentos chegando a R$ 44 bilhões em 2007. A mesma pesquisa atestou que a adoção de programas de gover- nança de TI é uma prioridade para este ano. Do universo de empresas consultadas pelo ISF, apenas 13% disseram que estão experimentando níveis mais avançados de utilização do conceito. O levantamento cons- tatou, ainda, que o grande interesse no tema não decorre da imposição da alta direção das empresas, mas da constatação da necessidade de adotar uma metodologia capaz de melhorar os serviços prestados pela área de TI. As vantagens do alinhamento de TI aos processos de negócios são mui- tas. Uma delas é que desmistifi ca a idéia, tão comum quanto equivoca- da, de que a área de TI serve apenas para solucionar problemas dentro do ambiente corporativo, além de contribuir para diminuir a complexi- dade do ambiente, eliminar ativida- des redundantes e gerar aumento de produtividade. Mais que isso, ela vem sendo requisitada para auxiliar O Brasil é hoje o país de maior destaque na implantação de programas de Governança de TI na América do Sul 7 no planejamento, na implantação e na viabilização de ações que permi- tam a concretização dos objetivos das empresas. “Uma organização de TI efetiva cria valor para a empresa como um todo ao entregar benefícios que superam os custos envolvidos”, comenta Sergio. Por outro lado, o alinhamento permite programar melhor os investimentos na infra-estrutura tec- nológica, evitando a aquisição de sistemas e máquinas que não atendem às necessi- dades da corporação. “Há situações em que o projeto não con- templa fatores ine- rentes ao ambiente de TI, como a escalabi- lidade dos equipamentos. Quando ad- quire uma solução, a empresa precisa levar conta que a sua infra-estrutura cresce à medida que os negócios evoluem”, explica Zunara. Um novo perfi l do CIO O papel do CIO (chief information offi cer) ganhou uma nova dimensão na busca pelas melhores práticas de governança de TI. A esses profi ssio- nais cabe a missão de coordenar o processo de alinhamento da área de TI com a estratégia de negócio e, talvez o mais difícil, de- monstrar de forma clara e objetiva como os investimentos em tecnologia podem gerar resultados e melhorar o desempe- nho da companhia. A tarefa é ainda mais árdua nas situações em que a área de TI é vista como um centro de custo ou no caso de empresas para as quais a área de TI não é considerada um fator crítico para o negócio. Zunara reforça a idéia de que o traba- lho do CIO não pode ser dissociado do restante da companhia. Como responsável pela área de TI, ele deve ter assento obrigatório nos comitês da estrutura de governança corporativa e participar ativamente das grandes decisões. “Parte da visão do CIO está focada no negócio e parte, na avaliação sobre como TI responde à estratégia da empresa”, explica. Nesse sentido, há uma mudança no perfi l profi ssional do CIO. Há algum tempo habilidades técnicas e conhecimento profundo da tecnolo- gia deixaram de ser um diferencial para os profi ssionais que atuam na área de TI. Hoje, as empresas cobram do CIO uma visão de pro- cessos, produtividade, retorno sobre investimentos e custos. Em uma palavra, o CIO precisa entender do negócio. Esse é um fator prepon- derante para o esforço de atrelar as iniciativas na área de TI à estraté- gia de negócio, bem como para o relacionamento do dia-a-dia com o CFO (chief fi nancial offi cer), com o CEO (chief executive offi cer) e com os diversos organismos de gestão e de governança. Hoje, as empresas cobram do CIO uma visão de processos, produtividade, retorno sobre investimentos e custos 10 DIGITAL INSIGHTS Segregação de funções, uma arma contra fraudes Ao permitir que os funcionários tenham acesso ao mínimo necessário para a execução de suas atividades, a empresa reduz a possibilidade de falhas e fortalece o ambiente de TI Se no passado a proliferação de perfi s de acesso foi a solução para manter a continuidade de negócios, hoje ela tira o sono dos profi ssionais da área de TI. Não é para menos: são cada vez mais comuns os casos em que funcionários mal-intencionados valem-se do acesso a diferentes tipos de operações, especialmente fi nanceiras, em benefício próprio. Infelizmente, na maioria das ve- zes, quando a fraude é descoberta é tarde demais. Para evitar situ- ações desse tipo, vêm ganhando for- ça nas empresas os projetos de segre- gação de funções. Em linhas gerais, a segregação de fun- ções busca reduzir o acesso de fun- cionários de uma organização ao mínimo necessário para a execução de suas atividades, tendo em vista que a maioria das invasões aos sistemas é feita por pessoal com acesso autorizado. Para piorar, o volume de usuários nas empresas e a complexidade de sistemas e aplicações são cada vez maiores. “Em um primeiro momento, no fi - nal da década de 90, a segregação de funções estava mais relacio- nada à continuidade de negócios. Foi uma época de proliferação de perfi s de acesso. Mas as empre- sas já começam a ver na restrição de autorizações um recurso im- portante para ampliar a segurança das informações e preservar os ativos da companhia. Hoje este é um tema notadamente fi nanceiro”, pondera Alberto Fávero, sócio da área de Riscos Tecnológicos e Segurança da Informação da Ernst & Young. A introdução da Lei Sarbanes-Ox- ley (SOX) e de outras exigências regulatórias tam- bém contribuiu para que a questão fosse inserida na agenda de traba- lho dos gestores. Principalmente em razão do impacto que o grande núme- ro de perfi s de aces- so pode provocar nos balanços fi nanceiros. Nessa linha de raciocínio, a segregação de funções surge como um me- canismo de controle interno que contribui para evitar fraudes ou, no mínimo, determinar a probabi- lidade de ocorrência desse tipo de problema. Um programa efi ciente de segregação de funções pode ajudar uma organização a: Identifi car defi ciências em operações fi nanceiras; Determinar quais operações não devem ser combinadas; Determinar quantos problemas de segregação de funções existem na organização; Defi nir uma estratégia de remediação ou mitigação dos problemas; Executar de maneira adequada os planos de remediação ou mitigação de riscos; Manter processos apropriados de segregação de funções e processos para minimizar problemas futuros. Se a organização segue essas orientações ou mesmo que recorra a apenas algumas delas, o gestor da área de TI já terá uma pers- pectiva da extensão do problema. Esse quadro poderá inclusive auxiliar o executivo a manter-se informado sobre decisões acerca da segregação de funções e outros aspectos de negócio que impac- tam as demonstrações fi nanceiras. No Brasil, ao contrário do que já ocorre nos Estados Unidos, esse é um tema ainda incipiente, mas em razão dos benefícios que traz para a organização vem ganhan- A Lei Sarbanes- Oxley contribuiu para que a segregação de funções fosse inserida na agenda de trabalho dos gestores 11 do espaço na pauta não apenas de CIOs, mas principalmente de CEOs e CFOs. “A segregação de funções já ultrapassa os limites da área de segurança da informa- ção. É um tema de interesse para toda a empresa”, resume Márcio Lopes, gerente da área de Riscos Tecnológicos e Segurança da In- formação da Ernst & Young. Para os profi ssionais da área de TI que ainda não colocaram o tema em sua agenda de trabalho, o primeiro passo rumo a um projeto para segregar funções é fazer um diagnóstico dos perfi s de acesso na organização, de modo a identi- fi car os planos de mitigação mais indicados para cada caso. Essa avaliação preliminar oferece uma visão geral da maioria dos proble- mas. Com o diagnóstico em mãos, é possível desenvolver planos de mitigação ou de desenho de con- troles compensatórios. No primei- ro caso, pode-se optar por fazer as correções por área, por departa- mento, por empresa (em caso de grandes grupos) ou por produto. A grande vantagem é que esse serviço é modular e customizado. Já nos modelos de controles com- pensatórios é preciso desenvolver um estudo mais aprofundado do negócio para escolher a melhor estratégia de mitigação dos riscos. Uma terceira possibilidade é a reengenharia de perfi s, mode- lo mais efetivo atualmente, por redefi nir por completo os perfi s de acesso dos usuários à informação. Trabalhos realizados pela Ernst & Young com grandes empre- sas nessa área comprovam que é possível reduzir o número de perfi s de acesso em até 70%, com vantagens que vão do aumento da segurança dos sistemas à melho- rias no processo de administração dos perfi s e controles internos, além da otimização de TI de for- ma geral. É preciso, porém, fi car alerta sobre a necessidade de che- car os perfi s mapeados de tempos em tempos, para que o modelo não se torne obsoleto. Outra ação importante para o sucesso de um projeto de segregação de funções é a conscientização dos usuários sobre o benefício da iniciativa. “Sem o comprometimento dos usuários, o processo de gestão de mudança será muito mais difí- cil”, avalia Fávero. É importante lembrar ainda que a segregação de funções possui relação íntima com os processos de gestão de identi- dades da empresa. Na opinião de Alberto Fávero, a segregação de funções continuará como um dos principais controles internos para garantir a segurança e a integridade das informações. “A segregação de funções repre- senta a interseção entre compliance e o valor real de negócio, além de contribuir para tornar os sistemas de TI mais efi cientes”, avalia. 12 DIGITAL INSIGHTS ERNST & YOUNG www.ey.com.br © 2007 Ernst & Young Todos os direitos reservados. Ernst & Young é uma marca registrada.